5-Implementación de Seguridad de La Red y Del Perímetro

Implementación de seguridad de la red y del perímetro
Conocimientos imprescindibles
• Descripción de los fundamentos de seguridad de una red

• Experiencia práctica con Windows® Server 2000 o Windows Server™
2003
• Experiencia con las herramientas de administración de Windows
Índice
• Introducción
• Uso de defensas en el perímetro
• Uso de Microsoft® Internet Security and Acceleration (ISA) Server
para proteger los perímetros
• Uso de Firewall de Windows para proteger a los clientes
• Protección de redes inalámbricas
• Protección de comunicaciones mediante IPSec
1
1. Introducción
En este tema se explicará la seguridad en una red. Específicamente, se

tratará lo siguiente:
• Propósito y limitaciones de las defensas de perímetro

• Propósito y limitaciones de las defensas de los clientes
• Propósito y limitaciones de las defensas ante intrusos
• Objetivos de seguridad en una red
1.1. Defensa en profundidad
Cap5-01.jpg
o Una estrategia de seguridad para una organización es más efectiva

cuando los datos están protegidos por más de un nivel de
seguridad. La estrategia de seguridad de defensa en profundidad
utiliza varios niveles de protección. Si un nivel se ve comprometido,
ello no conlleva necesariamente que también lo esté toda la
organización. Una estrategia de defensa en profundidad aumenta
el riesgo de detectar al intruso y disminuye la oportunidad de que
tenga éxito.
o Para reducir al máximo la posibilidad de que un ataque contra los
equipos cliente de su organización alcance su objetivo, tiene que
implementar el grado apropiado de defensa en cada nivel. Hay
muchas formas de proteger cada nivel individual mediante
herramientas, tecnologías, directivas y la aplicación de las
recomendaciones. Por ejemplo:
2
 Nivel de directivas, procedimientos y concienciación:
programas de aprendizaje de seguridad para los usuarios
 Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento
 Nivel perimetral: servidores de seguridad de hardware,
software o ambos, y redes privadas virtuales con
procedimientos de cuarentena
 Nivel de red de Internet: segmentación de red, Seguridad IP
(IPSec) y sistemas de detección de intrusos de red
 Nivel de host: prácticas destinadas a reforzar los servidores
y clientes, herramientas de administración de revisiones,
métodos seguros de autenticación y sistemas de detección
de intrusos basados en hosts
 Nivel de aplicación: prácticas destinadas a reforzar las
aplicaciones y el software antivirus
 Nivel de datos: listas de control de acceso (ACL) y cifrado
o Este capitulo se centra en la seguridad de una red y de su

perímetro. Los métodos y prácticas de seguridad explicados en él
tienen que ver principalmente con los niveles de host, red interna y
perímetro. No obstante, es importante tener en cuenta que la
seguridad de los clientes debe formar parte únicamente de la
estrategia de seguridad global de la organización.
1.2. Propósito y limitaciones de las defensas de perímetro
• Los servidores de seguridad y enrutadores de borde configurados

correctamente constituyen la piedra angular de la seguridad del
perímetro
• Internet y la movilidad aumentan los riesgos de seguridad
• Las redes VPN han debilitado el perímetro y, junto con las redes
inalámbricas, han ocasionado, esencialmente, la desaparición del
concepto tradicional de perímetro de red
• Los servidores de seguridad tradicionales con filtrado de paquetes
sólo bloquean los puertos de red y las direcciones de los equipos
• En la actualidad, la mayor parte de los ataques se producen en el nivel
de aplicación
o Los servidores de seguridad y enrutadores de borde configurados

correctamente constituyen la piedra angular de la seguridad del
perímetro. Sin embargo, los siguientes elementos superan las
capacidades de los servidores de seguridad tradicionales:
 Los dispositivos y clientes móviles aumentan los riesgos de
seguridad.
3
 Las redes privadas virtuales (VPN, Virtual Private Network)
representan un punto de entrada destructivo y pernicioso de
virus y gusanos en muchas organizaciones que omiten el
servidor de seguridad.
 Los servidores de seguridad con filtrado de paquetes de
primera generación sólo bloquean los puertos de red y las
direcciones de los equipos, permitiendo realizar la mayoría
de los ataques de tipo DoS a servicios específicos, dado
que los equipos que realizan solo filtrado de paquetes tienen
la imposibilidad de elevar los paquetes de datos al nivel de
aplicación, examinar el contenido y desecharlo ó autorizarlo.
o El perímetro de una red es el punto en el que la red interna de una

organización expone una interfaz a las redes que no son de
confianza. Muchas personas asumen que el perímetro sólo consta
de la conexión entre la red interna e Internet, pero esa definición es
demasiado limitada. Desde el punto de vista de la seguridad, el
perímetro de red abarca cada punto donde la red interna se
conecta a redes y hosts que no son controlados por el grupo de
tecnología de la información de la organización. Esto incluye las
conexiones a Internet, socios comerciales, redes VPN y
conexiones de acceso telefónico.
o Una nueva tendencia que está surgiendo en estos momentos en la
seguridad de las redes es el desuso generalizado de la zona
desmilitarizada (DMZ, Demilitarized Zone) o subred protegida.
Muchas organizaciones pretenden proteger sus redes internas del
mundo exterior implementando una solución de servidor de
seguridad. Sin embargo, el número de aplicaciones de la subred
protegida está aumentando debido a la cantidad cada vez mayor
de transacciones entre compañías (B2B, Business To Business)
que se realizan. En consecuencia, la subred protegida, que se
diseñó únicamente para contener un subconjunto de datos y
aplicaciones, ahora aloja una aglomeración notable de datos
confidenciales y valiosos. Comprometer la subred protegida hoy en
día casi equivale a comprometer toda la red de confianza. Para
hacer frente a la creciente cantidad de transacciones B2B, las
organizaciones están creando soluciones de seguridad para el
perímetro que son más abiertas y menos restrictivas. Cuando la
protección se disminuye en el perímetro tradicional, en la red
interna deben tomarse más medidas de seguridad. La tendencia en
auge para los próximos años será abrir el perímetro al mismo
tiempo que se fortalece la seguridad en la red interna con medidas
complementarias como el uso de Firewall de Windows, el filtrado
de puertos de IPSec, la autenticación de LAN 802.1x, la utilización
de servidores de seguridad delante enrutadores y conmutadores, el
cifrado y la supervisión de los sistemas.
4
o La protección del perímetro de su red es el aspecto más importante
para parar un ataque del exterior. Si su perímetro sigue siendo
seguro, su red interna se protege contra ataques externos. Se
enumeran abajo algunas maneras de implementar la defensa del
perímetro: Packet Filtering, Inspección de paquetes, Intrusion Detection
1.3. Propósito y limitaciones de las defensas de los clientes
• Las defensas de los clientes bloquean los ataques que omiten las
defensas del perímetro o que se originan en la red interna
• Las defensas de los clientes incluyen, entre otras:
o Refuerzo de la seguridad del sistema operativo
o Programas antivirus
o Servidores de seguridad personales
• Las defensas de los clientes requieren que se configuren muchos equipos
• En entornos no administrados, los usuarios pueden omitir las defensas de
los clientes
o Las defensas de los clientes se incluyen en el nivel de defensa del

host, dentro del modelo de defensa en profundidad. Las defensas
de los clientes actúan con frecuencia como último nivel de defensa
debido a que pueden bloquear los ataques que omiten las
defensas del perímetro, por ejemplo los servidores de seguridad.
Además, las defensas de los clientes pueden bloquear los ataques
que se originan en la red interna, como los intentos de introducirse
en un sistema por parte de empleados deshonestos.
o Las defensas de los clientes incluyen tanto las medidas que están
relacionadas con la red como aquellas que no lo están. Algunas
típicas son el refuerzo de la seguridad del sistema operativo, la
aplicación de revisiones, la instalación de software antivirus y el
uso de servidores de seguridad personales.
o Las defensas de los clientes pueden resultar difíciles de configurar
porque requieren la realización de cambios en muchos equipos.
Esto sólo puede llevarse a cabo de modo eficaz en un entorno de
red administrada.
o En un entorno de red no administrada, es posible que los usuarios
no puedan deshabilitar los mecanismos de protección y, por tanto,
omitan las defensas de los clientes. Al evaluar la eficacia de las
defensas de los clientes y el modo en que van a funcionar dentro
de una estrategia de defensa en profundidad, debería considerar
cómo se aplican.
o Existen tres tipos principales de clientes:
5
Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policy aplicadas a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a través del entorno.
Clientes de seguridad alta

El ambiente de seguridad alta consiste en elevar las configuraciones de
seguridad para el cliente. Cuando se aplican configuraciones de seguridad alta,
la funcionalidad de los usuarios se limita únicamente a las tareas necesarias
para cumplir con su trabajo. El acceso es limitado a programas aprobados,
servicios, y entornos de infraestructura.
Entorno Stand - Alone

Los entornos stand - alone consisten en organizaciones que tienen algunas PC´s
pero no las agrupan en entornos de dominio o esos computadoras son
miembros de dominios Windows NT 4.0 domain. Estos clientes tienen sus
configuraciones de seguridad usando Local Policy. La administración de
computadoras stand - alone puede ser considerablemente más complicada que
usar Active Directory , esto se debe a la utilización de políticas centralizadas en
un dominio Active Directory.
La guía de seguridad de Windows XP es similar a la guía Windows 2003 Server,

utilizando plantillas de seguridad para crear Group Policy Objects que se aplican
a Organizational Units en Active Directory para asegurar computadoras cliente.
Adicionalmente a las plantillas de seguridad se pueden utilizar las plantillas

administrativas para agregar seguridad adicional a components de Windows
como Internet Explorer, Windows Messenger y Terminal Server, también a
programas como Office XP.
La guía también hace uso de una nueva característica de la política llamada

Software Restriction Policies. Usando Software Restriction policies usted puede
limitar el software que se puede utilizar en una computadora o bien bloquear
programas específicos que no podrán ser ejecutados.
Se recomienda no agregar a los usuarios al grupo local de administradores.
1.4. Propósito y limitaciones de la detección de intrusos
• Detecta el modelo de ataques comunes, registra el tráfico sospechoso

en registros de sucesos y/o alerta a los administradores
6
• Las amenazas y puntos vulnerables evolucionan constantemente,
dejando a los sistemas en una situación vulnerable hasta que se
conoce un ataque nuevo y se crea y distribuye una nueva firma
o Los sistemas de detección de intrusos (IDS, Intrusion Detection

Systems) se suelen utilizar en un sistema que supervisa una gran
cantidad de solicitudes de conexión TCP a varios puertos
diferentes en un equipo de destino. IDS puede ejecutarse en un
equipo de destino que supervise su propio tráfico o en un equipo
independiente que vigile todo el tráfico de la red. Aunque IDS no
pueda impedir un ataque, permitirá su detección en un primer
momento, con lo que la organización podrá conseguir que los
daños que cause sean mínimos. Por lo general, IDS hará lo
siguiente:
 Detectar el patrón de los ataques "conocidos" comunes,
registrar el tráfico sospechoso en los registros de sucesos
y/o alertar a los administradores a través de mensajes de
correo electrónico, localizadores ("buscas") y otros métodos.
 Una limitación de IDS es que los nuevos ataques
evolucionan constantemente, provocando que muchos
sistemas sean vulnerables hasta que el fabricante de IDS
cree una nueva definición de firma para el ataque y se
descargue en IDS (casi de la misma forma que se crean y
distribuyen las definiciones de los antivirus).
1.5. Objetivos de seguridad en una red
Cap5-02.JPG
Los objetivos comunes de seguridad en una red incluyen:
 Defensa frente a los ataques del perímetro de red
7
 Defensa frente a los ataques en el cliente que se originan en
la red
 Detección de los intentos de entrar en el sistema
 Control de las personas que pueden tener acceso a la red
 Protección de las comunicaciones para lograr
confidencialidad.
 Suministro de acceso remoto seguro
 En esta presentación, verá la forma en que las tecnologías
como ISA Server, Firewall de Windows, Seguridad IP (IPSec) y
otras tecnologías de seguridad para dispositivos inalámbricos
pueden ayudarle a alcanzar estos objetivos.
8
2. Uso de defensas en el perímetro
En este tema, se explicará el uso de las defensas del perímetro.
Específicamente se tratará:
• Información general sobre las conexiones de perímetro

• Diseño del servidor de seguridad: de triple interfaz
• Diseño del servidor de seguridad: de tipo opuesto con opuesto o
sándwich
• Contra qué NO protegen los servidores de seguridad
• Servidores de seguridad de software y de hardware
• Tipos de funciones de los servidores de seguridad
2.1. Información general sobre las conexiones de perímetro
Cap5-03.JPG
o Los tipos de dispositivos que se encuentran en el perímetro

incluyen clientes VPN y servidores VPN, servidores de acceso
remoto (RAS) y clientes RAS, enrutadores de borde, servidores de
seguridad, sistemas de detección de intrusos de red (NIDS) y
servidores proxy.
9
o Debe asegurarse de proteger todos los puntos de entrada a una
red interna y que no haya otros no autorizados, como los módems
que se conectan a los equipos cliente o servidores, o los puntos de
acceso inalámbricos con fines sospechosos. La única forma de
asegurar esto es con el uso de políticas GPO en Active Directory.
o Las conexiones del perímetro no sólo están en la oficina principal,
sino en cada ubicación de la organización con presencia en
Internet. Una organización debe ser diligente a la hora de
garantizar que todos los puntos de entrada son seguros y que los
nuevos no permiten introducirse accidentalmente en la
organización. Por ejemplo, un empleado de una sucursal podría
configurar un punto de acceso inalámbrico para utilizar la red en
una sala que no tuviera conexiones de red.
Información adicional:
En el vínculo siguiente puede encontrar ayuda, paso a paso, para planear

e implementar una solución completa que permita proteger una red:
http://msdn.microsoft.com/library/en-us/dnnetsec/html/THCMCh15.asp
(Este sitio está en inglés).
2.2. Diseño del servidor de seguridad: de triple interfaz
Cap5-04.JPG
10
o En una configuración de red de perímetro con un servidor de
seguridad de triple interfaz, éste se configura con tres adaptadores
de red. Cada uno de los adaptadores se conecta a una de las
redes siguientes:
 Internet
 Servidores de la red interna que se encuentran en la subred
protegida
 Clientes de la red interna
o Aunque los servidores de la red de perímetro tienen direcciones IP

que suponen una presencia en Internet, el equipo servidor de
seguridad no permite el acceso directo a los recursos que se
encuentran en la red interna. El servidor de seguridad filtrará y
enrutará los paquetes a la subred protegida, tal como se determine
en la configuración de las reglas de protocolo y de puertos del
servidor de seguridad.
o Una ventaja de un servidor de seguridad de triple interfaz es que
ofrece un único punto de administración para configurar el acceso
tanto a la red de perímetro como a la red interna. Sin embargo, la
administración de la creación de reglas podría ser más compleja
para la subred protegida y la red interna. Cuando entra en juego la
complejidad de administración, la posibilidad de llevar a cabo una
configuración incorrecta también aumenta.
o Una desventaja de un servidor de seguridad de triple interfaz, es
que presenta un único punto de acceso a todos los componentes
de la red. Si el servidor de seguridad se ve comprometido, la
subred protegida y la red interna también podrían verse en la
misma situación. Al implementar un servidor de seguridad de triple
interfaz, que suele utilizarse en compañías pequeñas y medianas,
debería ponerse el mismo cuidado en el planeamiento y en la
implementación.
2.3. Diseño del servidor de seguridad: de tipo opuesto con

opuesto o sándwich
11
Cap5-05.JPG
o En una red de perímetro con servidores de seguridad de tipo

sándwich, en cada lado de la subred protegida, se ubican dos
servidores de seguridad. Ambos se conectan a la subred protegida:
uno de ellos se conecta también a Internet y el otro a la red interna.
En esta configuración, no hay un único punto de acceso. Para
llegar a la red interna, un usuario tendría que conseguir pasar
ambos servidores de seguridad. Es habitual trabajar con dos
proveedores de servidores de seguridad diferentes para conseguir
la máxima seguridad. Esta configuración en la que intervienen dos
proveedores impide que un punto débil de uno de los servidores de
seguridad pueda aprovecharse fácilmente en ambos.
o La administración no se realiza de forma centralizada en los dos
servidores para la subred protegida y para las redes de Internet.
Una configuración de tipo sándwich permite la creación de muchas
reglas granulares para el acceso interno y externo a la red. Por
ejemplo, es posible crear reglas que únicamente permitan el
acceso del tráfico HTTP y SMTP a la subred protegida desde
Internet y otras que sólo permitan el acceso del tráfico cifrado de
IPSec a los servidores de servicios de fondo en una red interna de
la subred protegida.
Generalmente, es más fácil configurar reglas para un diseño de

servidor de seguridad de tipo sándwich si la directiva de acceso de
una organización admite un tráfico de red limitado y muy
controlado entre los equipos de la subred protegida y equipos
seleccionados de la red interna.
12
2.4. Contra qué NO protegen los servidores de seguridad
• Tráfico peligroso que atraviesa los puertos abiertos y no es

inspeccionado en el nivel de aplicación por el servidor de seguridad
• Tráfico que atraviesa un túnel o sesión cifrados
• Ataques que se producen una vez que se ha entrado en una red
• Tráfico que parece legítimo
• Usuarios y administradores que, intencionados o accidentalmente,
instalan virus
• Administradores que utilizan contraseñas poco seguras
o Tenga en cuenta que un servidor de seguridad no protege frente a

todos los tipos de ataques. Aunque las defensas del perímetro se
encuentran entre los elementos más importantes que puede
implementar en una red, nunca debe confiar en un sólo servidor de
seguridad para proteger toda la red.
o Tráfico peligroso que atraviesa los puertos abiertos y que no es
inspeccionado por el servidor de seguridad: la primera generación
de servidores de seguridad no permite la inspección de los datos
del nivel de aplicación. Si un puerto se abre y permite el tráfico (por
ejemplo, el puerto 80), un usuario interno podría comprobar su
correo electrónico basado en Web y abrir un archivo adjunto que
estuviera infectado con un virus.
o Tráfico que atraviesa un túnel o sesión cifrados: es el tráfico cifrado
que no puede descifrarse e inspeccionarse en la mayor parte de
servidores de seguridad. Esto introduce la posibilidad de que el
tráfico peligroso pueda pasar cifrado a través del servidor de
seguridad aunque éste inspeccione el nivel de aplicación.
o Ataques que se producen una vez que se ha entrado en una red:
los servidores de seguridad no pueden proteger frente a un ataque
una vez que se ha entrado en la red interna. Por ejemplo, un
empleado de ventas que trabaje afuera podría volver a su oficina
principal con su portátil (que utiliza sin la protección del servidor de
seguridad de la organización y no contiene una solución antivirus)
e infectar con un virus a todos los equipos internos.
o Tráfico que parece legítimo: el tráfico puede tener una apariencia
legítima pero contener lógica que pueda explotar un punto
vulnerable. Por ejemplo, una cadena HTTP podría cumplir los
estándares de la Unidad máxima de transmisión (MTU, Maximum
Transmission Unit) y simular que realiza una solicitud legítima a un
servidor Web, pero en realidad aprovecharse de un punto débil de
un servidor Web.
o Usuarios y administradores que intencionada o accidentalmente
instalan virus: en el ejemplo anterior, un empleado de ventas que
13
trabaje afuera podría volver a su oficina con su portátil, que utiliza
sin la protección del servidor de seguridad de la organización y que
no contiene una solución antivirus, e infectar con un virus a todos
los equipos internos. En esta situación, el servidor de seguridad no
puede ofrecer ninguna protección y existe un riesgo aún mayor
frente al virus que merodea sin control en la red interna de
confianza.
o Administradores que utilizan contraseñas poco seguras: el uso de
contraseñas seguras y soluciones de autenticación con varios
factores constituyen un principio fundamental de seguridad. Si no
se utiliza una autenticación con varios factores al implementar una
contraseña que no sea extremadamente compleja en un servidor
de seguridad, es muy fácil que éste se vea comprometido.
2.5. Servidores de seguridad de software y de hardware
Cap5-06.JPG
o Aunque los servidores de seguridad técnicamente son hardware y

software, en ocasiones se distinguen por el hecho de que el
software se tiene que instalar en un sistema existente (de software)
o el servidor de seguridad viene empaquetado como un dispositivo
con el software instalado (de hardware). Con frecuencia, la
diferencia entre ambos tipos no resulta clara. Por ejemplo, algunos
14
servidores de seguridad que se venden como dispositivos son de
software, que se configura de forma personalizada y vienen con
hardware.
o Tenga en cuenta que las diferencias que se pueden ver en este
punto sólo son directrices generales. Debe evaluar cualquier
servidor de seguridad, principalmente en función de su idoneidad
global para realizar las tareas que usted requiera.
o Aunque las diferencias entre los dos tipos de servidores de
seguridad varían, hay algunos aspectos generales que debe
considerar cuando elija uno. Si no sabe con seguridad lo que
necesita, un factor importante a tener en cuenta al tomar una
decisión, es si el servidor de seguridad está certificado por la
International Computer Security Association (ICSA) y si puede
ampliarse para satisfacer las necesidades de su organización
ahora y en el futuro.
Recursos adicionales:
Para comprobar si un servidor de seguridad cumple los estándares de la ICSA,

visite
ttp://www.icsalabs.com/html/communities/firewalls/certification/rxvendors/index.s
html> (este sitio está en inglés).
2.6. Tipos de funciones de los servidores de seguridad
• Filtrado de paquetes
• Inspección de estado
• Inspección del nivel de aplicación
Cap5-07.JPG
15
o Los servidores de seguridad tradicionales proporcionan la forma
más básica de protección: filtran paquetes específicos. El filtrado
de paquetes IP intercepta y evalúa los paquetes antes de pasar por
un servidor de seguridad. Los filtros de paquetes IP controlan el
acceso en función de las direcciones IP de origen y destino, el
protocolo de comunicación y el puerto IP (canal de comunicación)
que se utilizan. El problema de este enfoque es que sólo se
pueden filtrar los aspectos de nivel inferior de un paquete de red,
no el contenido del tráfico.
o Un servidor de seguridad con inspección de estado inspeccionará
un paquete IP cuando llegue a él desde Internet. El servidor de
seguridad debe decidir si el paquete se debe reenviar a la red
interna. Para ello, "echa un vistazo" a fin de comprobar qué
conexiones han sido abiertas desde la red hacia Internet (lo que
también se conoce como tráfico solicitado). Si hay una conexión
abierta que se aplique al paquete que ha llegado desde Internet, se
le permitirá el paso. De lo contrario, el paquete se rechazará.
o La inspección del nivel de aplicación es la clave. Si conoce el
protocolo de comunicación de una aplicación, el servidor de
seguridad puede inspeccionar el tráfico legítimo y actuar como
protección frente a una comunicación peligrosa o inapropiada. Sólo
se permite el paso a través del servidor de seguridad a los
paquetes que cumplen las definiciones del protocolo.
o Los filtros del nivel de aplicación son lo suficientemente inteligentes
como para inspeccionar la información que pasa a través del
servidor de seguridad. Por lo tanto, estos filtros pueden cerrar los
puntos débiles específicos de las aplicaciones. Además, las reglas
del servidor de seguridad pueden especificar recursos
determinados de la aplicación a los que se concede o deniega el
acceso. Por ejemplo, es posible que un servidor de seguridad del
nivel de aplicación pueda inspeccionar el tráfico HTTP y bloquee
las solicitudes no válidas destinadas a los servidores Web.
o Microsoft ISA Server es un ejemplo de servidor de seguridad que
realiza todos estos tipos de inspección.
16
3. Uso de ISA Server para proteger los perímetros
En este tema, se explicará el uso de ISA Server para proteger los perímetros.

• Protección de los perímetros
• Protección de los clientes
• Protección de los servidores Web
• URLScan
• Protección de Exchange Server
• Tráfico que omite la inspección de los servidores de seguridad
• Inspección de todo el tráfico
• Inspección de SSL
• Refuerzo de la seguridad de ISA Server
• Recomendaciones
Cap5-08.JPG
Detección básica de intrusos, que se amplía gracias al trabajo de los

asociados:
o ISA Server ayuda a lograr los siguientes objetivos de seguridad en

una red:
 Defensa del perímetro
 Detección de intrusos
o ISA Server tiene capacidades básicas de detección de intrusos que
se amplían gracias al trabajo de los asociados.
 Acceso remoto seguro
17
Asociados para ISA Server que trabajan en la mejora de la capacidad de

detección de intrusos:
<http://www.microsoft.com/isaserver/partners/intrusiondetection.asp> (este
sitio está en inglés)
3.2. Protección de los perímetros
• ISA Server tiene completas capacidades de filtrado:

o Filtrado de paquetes
o Inspección de estado
o Inspección del nivel de aplicación
• ISA Server bloquea todo el tráfico de red a menos que usted lo

permita
• ISA Server permite establecer conexiones VPN seguras
• ISA Server tiene las certificaciones ICSA y Common Criteria
o La solución de servidor de seguridad de Microsoft, ISA Server,

proporciona seguridad empresarial gracias al filtrado en varios
niveles: en los paquetes, en los circuitos y en las aplicaciones. ISA
Server analiza y controla el tráfico específico de una aplicación con
filtros específicos de la aplicación que inspeccionan los datos
reales. Es posible habilitar el filtrado inteligente de HTTP, FTP,
correo electrónico SMTP, conferencia H.323, medios de
transmisión, RPC y otros.
o Sin necesidad de modificaciones, ISA Server bloquea todo el
tráfico de red y sólo admite los tipos de tráfico que usted permita
pasar específicamente a través del servidor de seguridad. Esto
representa el control más pesimista del tráfico que pasa a través
de las redes, tanto si son de confianza como no.
o ISA Server se combina con el Servicio de enrutamiento y acceso
remoto de Windows (RRAS, Routing and Remote Access Service)
como ayuda para proteger el acceso remoto a la red. ISA Server
simplifica la configuración de RRAS y ayuda a proteger el servidor
VPN frente a ataques que se realicen desde Internet.
o ISA Server 2000 ha recibido las certificaciones ICSA y Common
Criteria. Son las certificaciones que más se utilizan en el sector
para los productos de servidor de seguridad.
o ISA Server 2000 puede ser configurado en modo triple adaptador o
Sándwich.
18
o ISA Server 2000 puede elevar los datos hasta el nivel de aplicación
del modelo OSI y examinar el contenido de los paquetes.
Consulte “ISA Server 2000 Achieves Common Criteria Certification” (en

inglés) en:
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.asp
3.3. Protección de los clientes
Cap5-09.JPG
o ISA Server funciona como servidor proxy. Esto significa que ISA
Server procesa todas las solicitudes de cliente y nunca permite
ningún tráfico de red directo entre un cliente y un servidor, que
estén en lados diferentes del servidor de seguridad.
o Aunque es posible mejorar las funciones de ISA Server, si se
configura el software de cliente puede proporcionar protección para
todos los equipos que utilizan TCP/IP, sin tener que emplear
software especial en los equipos cliente.
o Las reglas, extremadamente configurables, permiten controlar de
forma granular el tráfico entrante y saliente.
 Por ejemplo, se pueden crear reglas para permitir
únicamente el tráfico HTTP a los sitios de los socios
comerciales de 8 a.m. a 1 p.m. De 12 p.m. a 1 p.m. se
permite el acceso HTTP sin restricción pero se concede
mayor prioridad al tráfico SMTP. De 1 p.m. a 5 p.m., de
19
nuevo las reglas sólo permiten el tráfico HTTP a los sitios de
los socios comerciales. Después de las 5 p.m., las reglas
HTTP son menos estrictas.
o Microsoft ha publicado el kit de desarrollo de software (SDK), que
está disponible públicamente. Esto facilita a los programadores de
Microsoft y a otros proveedores la adición de funciones a ISA
Server. Los siguientes son ejemplos de proveedores que
proporcionan complementos:
 Elaboración de informes: Revisión e informes del tráfico a
través de ISA Server: Aelita Software, Burst Technology,
Sane Solutions, Secure Computing, Soft-ex
Communications, Wavecrest Computing, WebSpy y
WebTrends
 Servicios de seguridad: Corbett Technologies, Foundstone e
InDepth Technologies
 Detección de intrusos: GFI e Internet Security Systems
 Control del uso de Internet en la organización: 8e6
Technologies, Burst Technologies, Cobion AG, Conerpost
Software, FilterLogic, Futuresoft Inc, iCognito Technologies,
N2H2 Inc, Nexus Technology Ltd, Secure Computing
Corporation, SurfControl, Wavecrest Computing y
Websense Inc.
3.4. Protección de los servidores Web
• Reglas de publicación en Web

o Para proteger de ataques externos a los servidores Web que se
encuentran detrás de los servidores de seguridad, inspeccione el
tráfico HTTP y compruebe que su formato es apropiado y cumple
los estándares
• Inspección del tráfico SSL

o Descifra e inspecciona las solicitudes Web entrantes cifradas para
comprobar que su formato es apropiado y que cumple los
estándares
o Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor
Web
o Las reglas de publicación permiten que las solicitudes
seleccionadas de los clientes externos lleguen a los servidores
Web públicos. ISA Server puede inspeccionar las solicitudes
entrantes y filtrarlas.
o Por ejemplo, se pueden crear reglas de publicación en Web para
redirigir las solicitudes a los servidores Web internos que alojan
sitios Web diferentes. ISA Server inspecciona el tráfico de acuerdo
20
con las reglas de destino configuradas en el servidor y reenvía las
solicitudes al servidor Web interno. ISA Server también registrará
los paquetes que no cumplan las reglas definidas por el
administrador y, si se desea, los paquetes que sí las cumplan.
o ISA Server puede inspeccionar el tráfico de Secure Sockets Layer
(SSL) y terminar el túnel SSL cifrado desde el cliente. Si las reglas
permiten este tráfico, ISA Server puede reenviar las solicitudes al
servidor Web publicado, ya sea de forma cifrada o sin cifrar. La
ventaja principal es que ningún tráfico puede pasar a la red interna
sin que ISA Server realice una inspección completa del mismo para
asegurarse de que cumple las reglas y los estándares.
Para obtener más información sobre la publicación de ISA Server, consulte:

<http://www.microsoft.com/technet/prodtechnol/isa/proddocs/isadocs/m_p_c_
pnatrule.asp> (este sitio está en inglés).
3.5. URLScan
• El paquete de características 1 de ISA Server incluye URLScan 2.5 para

ISA Server
• Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red
o Se produce un bloqueo general en todos los servidores Web que
se encuentran detrás del servidor de seguridad
o Se bloquean en el perímetro los ataques conocidos y los
descubiertos recientemente
21
Cap5-10.JPG
o URLScan 2.5 se incluye con el paquete de características 1 de ISA

Server. También se puede descargar para proteger los servidores
IIS que ejecutan la versión 4.0 y posteriores.
o URLScan es una herramienta de seguridad que se instala como un
filtro de la Interfaz de programación de aplicaciones de seguridad
en Internet (ISAPI) y que examina todas las solicitudes entrantes al
servidor y filtra las que se basen en reglas establecidas por el
administrador. El filtrado de las solicitudes ayuda a proteger el
servidor al garantizar que sólo se procesan las solicitudes válidas.
La herramienta de seguridad URLScan comprende dos archivos,
UrlScan.dll y UrlScan.ini, que funcionan juntos para que un
administrador pueda configurar la seguridad.
o Por ejemplo, una solicitud podría ser extremadamente larga,
solicitar una acción inusual, superar el tamaño de MTU de Internet,
estar codificada con un juego de caracteres alternativo o incluir
secuencias de caracteres que apenas aparezcan en las solicitudes
legítimas. Estas reglas están incluidas en el archivo UrlScan.ini. El
archivo UrlScan.ini contiene las secciones siguientes, que pueden
ser modificadas por un administrador para proporcionar un control
granular de las solicitudes que se reenvían a los servidores Web
internos:
 [Options]: describe opciones generales de URLScan.

 [AllowVerbs] y [DenyVerbs]: define los verbos (también
conocidos como métodos HTTP) que URLScan admite.
 [DenyHeaders]: enumera los encabezados HTTP que no se
permiten en una solicitud HTTP.
 [AllowExtensions] y [DenyExtensions]: define las
extensiones de nombre de archivo que URLScan admite.
 [DenyURLSequences]: enumera las cadenas que no se
permiten en una solicitud HTTP.
o Aunque URLScan se diseñó originalmente para ejecutarse en un

servidor IIS, su uso en ISA Server permite realizar estas funciones
en la periferia de la red en lugar de configurarlo en cada servidor
Web.
o La ejecución de URLScan en ISA Server puede complementar las
instalaciones existentes de URLScan o reducir la complejidad de la
configuración al ejecutarse en el borde de la red, en lugar de
ejecutarse en cada servidor Web y servidor con Outlook Web
Access de la red interna.
o Si los servidores Web requieren una configuración diferente,
configure URLScan en ISA Server con la configuración menos
restrictiva que se aplique a cualquier servidor publicado y, a
22
continuación, aplique la configuración de URLScan más restrictiva
en el servidor que la requiera.
3.6. Protección de Exchange Server
Cap5-11.JPG
o Para proteger los servidores de correo donde se ejecuta Microsoft

Exchange, ISA Server protege los servidores de correo interno que
están disponibles para los clientes externos. El Asistente para
publicación de correo permite hacer esto fácilmente y de forma
segura.
o SMTP Message Screener puede bloquear los mensajes de correo
electrónico que contienen tipos específicos de archivos adjuntos o
palabras clave. También es posible configurar los remitentes o los
dominios cuyo correo desea rechazar. Message Screener procesa
todo el tráfico SMTP entrante antes de que llegue al servidor de
correo interno.
o Message Screener es un componente opcional que no se instala
automáticamente si realiza una instalación típica de ISA Server.
Debe instalar el programa SMTP Message Screener en un equipo
donde se ejecute Servicios de Internet Information Server (IIS) 5.0
o un servicio SMTP posterior. SMTP Message Screener utiliza el
Modelo de objetos componentes distribuido (DCOM, Distributed
Component Object Model) para comunicar con el filtro SMTP de
ISA Server. Puede instalar el filtro SMTP en el mismo equipo
donde se ejecuta ISA Server o en otro diferente.
23
o La publicación de Llamada a procedimiento remoto (RPC, Remote
Procedure Call) proporciona acceso seguro a los clientes Outlook
en Internet. Para ello, ISA Server inspecciona el tráfico RPC y
únicamente abre los puertos necesarios para que un cliente se
comunique con el servidor Exchange.
o El paquete de características 1 de ISA Server también automatiza
la publicación en Web para proteger el tráfico de Outlook Web
Access (OWA) y Outlook Mobile Access (OMA). El asistente de
publicación configura todas las reglas necesarias para esta tarea.
3.7. Tráfico que omite la inspección de los servidores de

seguridad
• Los túneles SSL atraviesan los servidores de seguridad tradicionales

porque este tipo de tráfico está cifrado, lo que permite a los virus y
gusanos pasar sin ser detectados e infectar los servidores internos
• El tráfico VPN se cifra y no se puede inspeccionar
• El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría
utilizarse para transferir archivos
o Algunos servidores de seguridad del nivel de aplicación no

inspeccionan parte del tráfico que los atraviesa. Esto podría
permitir que entre tráfico peligroso en la red.
o Este punto ofrece ejemplos de tráfico que puede no ser
inspeccionado por un servidor de seguridad. Al elegir una solución
de servidor de seguridad, debe determinar los puntos de entrada
de los protocolos en la red y si el riesgo de permitir que estos
protocolos entren en ella sin ser inspeccionados es aceptable.
3.8. Inspección de todo el tráfico
• Utilice sistemas de detección de intrusos y otros mecanismos para

inspeccionar el tráfico VPN una vez descifrado
• Recuerde: defensa en profundidad
• Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL
• Expanda las capacidades de inspección del servidor de seguridad
o Utilice complementos para el servidor de seguridad que permitan

inspeccionar el tráfico de IM
o Para impedir que el tráfico omita el servidor de seguridad,

considere las estrategias siguientes:
24
o Utilice una estrategia de defensa en profundidad para detectar el
tráfico problemático una vez descifrado el tráfico VPN. Para ello,
puede utilizar sistemas de detección de intrusos en la red.
o Utilice un servidor de seguridad que pueda inspeccionar el tráfico
SSL entrante. ISA Server puede ocuparse de ello. En la siguiente
dispositiva se explica esto detalladamente.
o Expanda las capacidades de inspección del servidor de seguridad.
Por ejemplo, Akonix proporciona un complemento para ISA Server
que permite la inspección del tráfico de IM.
Para obtener información sobre Akonix L7 Enterprise para ISA Server,

consulte: <http://www.akonix.com/products/l7_isa.asp> (este sitio está
en inglés)
3.9. Inspección de SSL
• Los túneles SSL atraviesan los servidores de seguridad tradicionales

porque este tipo de tráfico está cifrado, lo que permite a los virus y
gusanos pasar sin ser detectados e infectar los servidores internos
• ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico
inspeccionado se puede enviar al servidor interno sin cifrar o cifrado
de nuevo
o SSL cifra el tráfico de red para proteger la confidencialidad entre el

cliente y el servidor. Aunque esta confidencialidad es necesaria
para el tráfico de red que atraviesa las redes que no son seguras,
como Internet, también impide que los servidores de seguridad
inspeccionen este tráfico cifrado. Los servidores de seguridad
tradicionales pasan el tráfico SSL a los servidores Web internos sin
inspeccionarlo, con lo que permiten que los virus, gusanos u otros
ataques los atraviesen sin ser detectados.
o Puede configurar ISA Server como extremo del túnel SSL. Para
ello, debe instalar un certificado de servidor Web en el equipo que
ejecuta ISA Server, de modo que éste pueda demostrar su
identidad ante los equipos cliente. Una vez que ISA Server
inspecciona el tráfico del túnel SSL, lo reenvía al servidor interno.
Es posible configurar ISA Server para enviar este tráfico sin cifrar o
cifrado de nuevo.
3.10. Refuerzo de la seguridad de ISA Server
25
• Refuerzo de la pila de red
• Deshabilite los protocolos de red innecesarios en la interfaz de red
externa:
o Cliente para redes Microsoft

o Compartir impresoras y archivos para redes Microsoft
o NetBIOS sobre TCP/IP
o ISA Server suele conectarse directamente a Internet y, por lo tanto,

está expuesto a posibles ataques provenientes del exterior. Si el
servidor de seguridad se bloquea o se ve comprometido desde la
red interna, es posible que puedan entrar intrusos en la red. Si se
refuerza más el servidor ISA Server, es posible aumentar la
seguridad del servidor de seguridad.
o Debe configurar la pila de red de Windows Server 2000 o Windows
Server 2003 para impedir ataques de denegación de servicio. Los
artículos 315669 y 324270 de Knowledge Base (Base de
conocimiento) de Microsoft contienen información detallada sobre
cómo hacer esto.
o También debe deshabilitar los protocolos de red innecesarios.
Normalmente, esto incluye deshabilitar el Cliente para redes
Microsoft y la función Compartir impresoras y archivos para redes
Microsoft en la interfaz externa de ISA Server. Además, debe
deshabilitar NetBIOS sobre TCP/IP en la interfaz externa.
o Adicionalmente utilice el Wizard “Secure Your ISA Server
Computer”. Este asistente realiza cambios importantes para el
Hardening del ISA Server y contiene tres perfiles diferentes:
“Dedicated” se utiliza si el hardware solamente funciona como
servidor de seguridad, “Limited Seviches” se utiliza en equipos que
funcionan como servidor de seguridad y alguna función de
infraestructura o controlador de dominio, y “Secure” se utiliza para
equipos que funcionan como servidor de seguridad y de
aplicaciones o bases de datos. Como recomendación no utilice
este asistente si no está seguro del futuro del equipo, puesto que
realiza cambios irreversibles y puede que luego no funcione
correctamente.
26
Cap5-25.jpg
3.11. Conectando Usuarios Remotos a la Red Corporativa
27
Cap5-24.jpg
Las conexiones VPN habilitan a los usuarios a trabajar remotamente

conectados a la red corporativa o a la red perimetral, utilizando como transporte
una red pública como Internet. De la perspectiva del usuario, la infraestructura
de la red pública es inaplicable porque los datos parecieran se envían sobre un
enlace privado dedicado. Para permitir que las computadoras cliente
establezcan una conexión VPN, usted debe configurar el ISA Server para
aceptar conexiones VPN de clientes, utilizando como protocolos de VPN PPTP o
L2TP.
3.12. Recomendaciones
• Utilice reglas de acceso que únicamente permitan las solicitudes que

se admitan de forma específica
• Utilice las capacidades de autenticación de ISA Server para restringir y
registrar el acceso a Internet
• Configure reglas de publicación en Web para conjuntos de destinos
específicos
• Utilice la inspección de SSL para inspeccionar los datos cifrados que
entren en la red
o Puede conceder acceso a Internet si crea reglas de sitios y de

contenido. Las reglas de sitios y de contenido determinan si los
usuarios o conjuntos de direcciones de cliente pueden tener
acceso al contenido de conjuntos de destinos específicos y
cuándo. Si un cliente solicita un objeto, ISA Server comprueba las
reglas de sitios y de contenido. La solicitud sólo se admitirá si una
regla de sitios y de contenido permite específicamente el acceso
de cliente al contenido y si se permite al cliente comunicarse con el
protocolo específico.
o Puede establecer la configuración de las solicitudes Web entrantes
y salientes de forma que los usuarios se deban autenticar antes de
procesar las reglas. De este modo se garantiza que las solicitudes
sólo se permiten si el usuario que las efectúa se ha autenticado.
o Las reglas de publicación en Web determinan cómo debe
interceptar ISA Server las solicitudes entrantes de objetos HTTP en
un servidor Web interno y cómo debe responder en nombre del
servidor Web. Las solicitudes se reenvían a un servidor Web
interno, que se encuentra detrás del equipo que ejecuta ISA
Server. Configure las reglas sólo para conjuntos de destinos
específicos, que incluyen una o varias direcciones URL.
28
o La inspección SSL permite la inspección y modificación del tráfico
HTTP. Los puentes de SSL se utilizan cuando ISA Server finaliza
una conexión SSL o cuando la inicia.
29
4. Uso de Firewall de Windows para proteger a los clientes
En este tema, se explicará el uso de Firewall de Windows para proteger a los

clientes. Específicamente se tratará:

• Información general sobre Firewall de Windows
• Habilitar Firewall de Windows
• Configuración avanzada de Firewall de Windows
• Registro de seguridad de Firewall de Windows
• Firewall de Windows en la compañía
• Recomendaciones
Cap5-12.JPG
o Firewall de Windows ayuda a lograr el siguiente objetivo de

seguridad en la red:
 Defensa de los clientes
4.2. Información general sobre Firewall de Windows
30
Cap5-13.JPG
o Firewall de Windows resulta útil si se desea proteger una conexión

de acceso telefónico cuando se marca directamente a un número
de un proveedor de servicios Internet (ISP, Internet Service
Provider) o para proteger una conexión LAN a una línea asimétrica
de suscripción digital (ADSL, Asymmetric Digital Subscriber Line) o
módem por cable. Firewall de Windows también puede habilitarse
en la conexión a Internet de un equipo host que utiliza Conexión
compartida a Internet (ICS, Internet Connection Sharing) para
proporcionar protección al equipo host ICS.
o De forma predeterminada, Firewall de Windows bloquea el tráfico
entrante que no se haya solicitado. Uno de los objetivos de diseño
de Firewall de Windows es que resulte tan fácil de utilizar como
sea posible y no requiera la intervención del usuario. Cuando se
habilita Firewall de Windows, los equipos quedan automáticamente
protegidos frente a la mayor parte de los ataques basados en la
red. Es posible configurarlo para que permita el tráfico entrante que
se seleccione.
o Servidor de seguridad de conexión a Internet (ICF): se considera
un servidor de seguridad eficaz. Para evitar que el tráfico no
solicitado del lado público de la conexión penetre en el lado
privado, ICF mantiene una tabla de todas las comunicaciones que
se han originado en el equipo de ICF.
o Seguimiento y comparación del tráfico. Cuando se utiliza junto con
Conexión compartida a Internet (ICS), ICF realiza un seguimiento
de todo el tráfico procedente del equipo de ICF/ICS y de todo el
tráfico procedente de los equipos de la red privada. ICF compara
31
todo el tráfico entrante de Internet con las entradas de la tabla. ICF
permite que el tráfico entrante de Internet llegue a los equipos de la
red sólo cuando haya una entrada coincidente en la tabla que
muestre que el intercambio de comunicación procede del equipo o
de la red privada.
o Protección contra las amenazas de Internet. Para frustrar intentos
de ataque comunes (como la exploración de puertos), el servidor
de seguridad cierra las comunicaciones que proceden de Internet.
En lugar de enviar notificaciones, a menudo ICF crea un registro de
seguridad para realizar un seguimiento de la actividad del servidor
de seguridad. Para obtener más información, consulte el registro
de seguridad de Servidor de seguridad de conexión a Internet.
Limitaciones de ICF
o Sin filtrado del tráfico saliente. Esto significa que ICF no protege
contra gusanos que inicien tráfico saliente. Algunos gusanos
recientes han mostrado este comportamiento como medio para
replicarse a sí mismos.
o Problemas de soporte técnico y software. La implementación de
ICF en clientes, cuando están conectados a la red corporativa,
puede causar problemas importantes de soporte técnico y
software, que es necesario evaluar cuidadosamente. Por ejemplo,
la habilitación de ICF impedirá el funcionamiento de importantes
herramientas de soporte técnico como Microsoft Baseline Security
Analyzer (MBSA) y detendrá herramientas de distribución de
software como Systems Management Server.
o Opciones de configuración limitadas. ICF actualmente cuenta con
un conjunto limitado de opciones de configuración, aunque esto se
mejorará en el Service Pack 2 de Windows XP. ICF en Windows
XP se atiene a NLA (Network Location Awareness) y se puede
deshabilitar mediante Active Directory o Directiva de grupo en
Windows Server 2003. Los usuarios portátiles no tienen que
acordarse de habilitar o deshabilitar ICF cuando estén de viaje.
Pueden dejar ICF habilitado y estar protegidos mientras están en
casa o de viaje. En la oficina, Directiva de grupo puede deshabilitar
ICF siempre que un equipo se conecte a la red corporativa.
4.3. Habilitar Firewall de Windows
• Se puede habilitar:
• Al activar una casilla de verificación
• Con el Asistente para configuración de red
• Con el Asistente para conexión nueva
32
• Se habilita de forma independiente en
cada conexión de red
Cap5-14.JPG
o Un objetivo de diseño importante de Firewall de Windows es su

facilidad de uso. Puede ir a la ficha Avanzadas de la página
Propiedades de una conexión de red y habilitar Firewall de
Windows a través de una casilla de verificación. La carpeta
Conexiones de red se encuentra en el área Conexiones de red e
Internet del Panel de control. Firewall de Windows también se
puede habilitar mediante el Asistente para configuración de red y el
Asistente para conexión nueva.
o Firewall de Windows se puede habilitar de forma independiente en
cada conexión de red. Por ejemplo, puede habilitarlo en una
conexión de acceso telefónico que utilice para conectarse a
33
Internet. Puede deshabilitarlo en una conexión Ethernet que utilice
para conectarse a la red corporativa.
4.4. Configuración avanzada de Firewall de Windows
• Servicios de red
• Aplicaciones basadas en Web
Cap5-15.JPG
• Si en un equipo ejecuta servicios de red o aplicaciones basadas en Web,

puede abrir puertos específicos si selecciona los protocolos para los que
desee permitir las conexiones entrantes.
• Recuerde que habilitar Firewall de Windows en una conexión a través de
la que reciba correo electrónico podría afectar a las notificaciones de
34
correo nuevo. Dado que Firewall de Windows inspecciona todas las
comunicaciones entrantes, algunos programas, especialmente los de
correo electrónico, se podrían comportar de forma diferente si lo activa.
Algunos programas de correo electrónico sondean periódicamente su
servidor para comprobar si hay correo nuevo. Otros esperan que el
servidor de correo les notifique ese hecho. Firewall de Windows no afecta
al comportamiento de Outlook Express porque la solicitud de notificar el
correo electrónico nuevo se origina desde dentro del servidor de
seguridad. Sin embargo, Microsoft Outlook 2000 se conecta a un servidor
basado en Microsoft Exchange que utiliza RPC para enviar a los clientes
las notificaciones de recepción de mensajes nuevos. Como la notificación
RPC se inicia en un servidor basado en Exchange que está fuera del
servidor de seguridad, Firewall de Windows no permite que los mensajes
RPC lleguen a la red doméstica desde Internet. El mensaje con la
notificación RPC se descarta. Puede enviar y recibir mensajes de correo
electrónico pero debe comprobar usted mismo si hay mensajes nuevos o
bien puede configurar Outlook 2000 y Outlook 2003 de modo que
sondeen el servidor Exchange para comprobarlo. Adicionalmente usted
puede configurar el servidor Exchange 2003 funcionando sobre un
Windows Server 2003 y un cliente Outlook 2003, para utilizar RPC over
http. Esta nueva funcionalidad le permite realizar una conexión RPC
utilizando como transporte http. Para más información sobre este tema:
http://support.microsoft.com/default.aspx?scid=kb;en-
us;833401&Product=exch2003 (en Inglés)
4.5. Registro de seguridad de Firewall de Windows
• Opciones de registro
• Opciones del archivo de registro
35
Cap5-16.JPG
o Firewall de Windows tiene la capacidad de registrar el tráfico de

red. Este registro sigue el Formato de archivo extendido W3C
(http://www.w3.org/TR/WD-logfile.html [en inglés]). El archivo de
registro es un archivo de texto ASCII que se puede importar para
analizar los datos.
o De forma predeterminada, Firewall de Windows no registra los
paquetes descartados ni las conexiones correctas. Debe habilitar el
registro para solucionar problemas o para recopilar registros y
realizar análisis centralizados. La información que se recopila en
los registros de Firewall de Windows puede resultar de un interés
inestimable en el análisis de ataques que se han llevado a cabo.
o Si configura el registro, no olvide limitar el tamaño del archivo de
registro para no utilizar todo el espacio de disco disponible en los
equipos. No obstante, asegúrese de registrar información suficiente
para realizar un seguimiento de los posibles ataques.
36
4.6. Firewall de Windows en la compañía
• Configure Firewall de Windows mediante directivas de grupo

• Combine Firewall de Windows con Control de cuarentena de acceso a la
red
o Aunque Firewall de Windows se diseñó como servidor de

seguridad personal, puede aumentar la seguridad en un entorno
empresarial al proporcionar un nivel adicional de seguridad en el
cliente.
o Firewall de Windows puede configurarse de forma centralizada
mediante directivas de grupo en Active Directory®. Para
administrar equipos cliente, muchas organizaciones deben poder
tener acceso a estos equipos a través de la red. Para asegurarse
de que los usuarios no habilitan Firewall de Windows mientras se
encuentran en su red, aplique la opción de directiva de grupo
Prohibir el uso de Firewall de Windows en su red de dominio DNS.
Al aplicar esta opción de directiva de grupo, los usuarios con
cuentas de administrador no pueden habilitar ni configurar Firewall
de Windows porque la ficha Avanzadas deja de estar disponible y
se bloquean las opciones del asistente relacionadas en equipos
con Windows XP Professional. Esta opción de directiva de grupo
se encuentra en Configuración del equipo\Plantillas
administrativas\Conexiones de red\ La protección de Firewall de
Windows sigue estando disponible cuando los equipos cliente no
están conectados a la red corporativa.
o El Control de cuarentena de acceso a la red es una característica
de los servidores VPN basados en Windows Server 2003. Puede
utilizarla para controlar el acceso de los clientes VPN a la red
corporativa. Por ejemplo, puede emplear una secuencia de
comandos para comprobar si Firewall de Windows está
configurado en los clientes VPN y desconectar los que no lo tengan
habilitado.
Para obtener más información del Control de cuarentena de acceso a

la red de Windows Server 2003, consulte:
<http://www.microsoft.com/windowsserver2003/techinfo/overview/quar
antine.mspx>
Para obtener más información sobre la configuración de directivas de

grupo para Firewall de Windows, consulte:
37
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/hnw_
prohibit.asp
• Utilice Firewall de Windows en las oficinas domésticas y en las

pequeñas compañías con el fin de proporcionar protección a los
equipos que estén conectados directamente a Internet
• No active Firewall de Windows en una conexión VPN (aunque debe
habilitarlo en la conexión LAN o de acceso telefónico subyacente)
• Configure las definiciones de servicio para cada conexión de Firewall
de Windows a través de la que desee que funcione el servicio
• Establezca el tamaño del registro de seguridad en 16 megabytes para
impedir el desbordamiento que podrían ocasionar los ataques de
denegación de servicio
o Firewall de Windows *siempre* se debe utilizar en todos los

equipos que estén conectados a Internet y que no ofrezcan el
grado de protección que proporciona un servidor de seguridad
tradicional.
o No active Firewall de Windows en una conexión VPN porque
interfiere con el uso compartido de archivos y con otras funciones
VPN. Sin embargo, en el resto de las conexiones se DEBE utilizar
Firewall de Windows mientras se tenga acceso a la VPN para
impedir que el tráfico no solicitado se enrute a la red corporativa
interna.
o Firewall de Windows puede habilitarse en una LAN, incluso en una
LAN inalámbrica, y en conexiones de Servicio de acceso remoto
como PPP sobre Ethernet, acceso telefónico y VPN. Se puede
habilitar en varias conexiones en un sistema, cada una con sus
propias opciones y configuración. Cada conexión debe analizarse
para determinar a qué tráfico no solicitado se le debe permitir
entrar en esa interfaz.
o El registro de seguridad se debe configurar para grabar una
cantidad apropiada de datos que no puedan sobrescribirse
fácilmente. Un archivo con un tamaño de 16 megabytes es
suficiente en la mayor parte de las instalaciones de equipos.
38
5. Protección de redes inalámbricas
En este tema, se tratará cómo proteger las redes inalámbricas.


• Aspectos de seguridad en dispositivos inalámbricos
• Posibles soluciones
• Comparación de la seguridad de las redes de área local inalámbricas
(WLAN)
• 802.1X
• 802.1X en 802.11
• Requisitos del sistema para 802.1x
• Configuración de 802.1x
• Directiva de acceso
• Perfil de directivas de acceso
• Wi-Fi Protected Access (WPA)
• Recomendaciones
Cap5-17.JPG
o 802.1x y Wireless Protected Access (WPA) son características de

seguridad para redes inalámbricas. Ayudan a lograr los siguientes
objetivos de seguridad en una red:
 Control de las personas que pueden tener acceso a la red
 Confidencialidad del tráfico de red
5.2. Aspectos de seguridad en dispositivos inalámbricos
39
• Limitaciones de Wired Equivalent Privacy (WEP)
o Las claves WEP estáticas no se cambian de forma dinámica y, por

lo tanto, son vulnerables a los ataques
o No hay un método estándar para proporcionar claves WEP
estáticas a los clientes
o Escalabilidad: el compromiso de una clave WEP estática expone a
todos los usuarios
• Limitaciones del filtrado de direcciones MAC
o Un intruso podría suplantar una dirección MAC permitida

o La especificación 802.11 no define un protocolo de administración
de claves Wired Equivalent Privacy (WEP). El uso de claves WEP
estáticas no es suficientemente seguro para impedir el acceso no
autorizado a la red y mantener la confidencialidad de las
comunicaciones. Ésta es una limitación de los servicios de
seguridad de IEEE 802.11, especialmente en un modo de red de
infraestructura inalámbrica con un gran número de emisoras.
Recientemente, WEP ha demostrado ser un protocolo débil desde
el punto de vista criptográfico. Investigadores de la Universidad de
Berkeley fueron capaces de desentrañar el cifrado de los datos
codificados con WEP. Teóricamente, usuarios con malas
intenciones podrían hacer lo mismo en la red. Además, no hay un
método estándar para proporcionar claves WEP estáticas a los
clientes. Dado que todos comparten la misma clave WEP estática,
si esta clave se ve comprometida, las comunicaciones de todos los
usuarios pueden verse comprometidas.
o El control de acceso a las redes inalámbricas es un reto cada vez
más difícil de superar para los administradores de red. El acceso
ilimitado implica que cualquier usuario que disponga de una tarjeta
de red inalámbrica pueda obtener acceso a la red. Por otro lado, un
acceso muy restringido invalida las ventajas que supone el acceso
inalámbrico e irrita a los usuarios. Limitar el acceso a su
infraestructura inalámbrica y mantener alejados a los intrusos al
mismo tiempo que ofrece a los usuarios la libertad de trabajar sin
cables es un desafío al que se enfrentan todas las compañías que
implementan redes inalámbricas.
o En muchas redes inalámbricas pequeñas, la supervisión de
direcciones de Control de acceso a medios (MAC, Media Access
Control) constituye la mejor elección. El punto de acceso
inalámbrico suele tener la capacidad de almacenar una lista de
direcciones MAC con permiso para tener acceso a la red. Si la
dirección MAC no se ha agregado al punto de acceso, se rechaza
y el usuario no puede conectarse a la red. Esta técnica tiene la
ventaja añadida de impedir que los intrusos suplanten las
40
direcciones IP. Sin embargo, si no se puede entrar en la red, no es
posible suplantar una dirección. Desgraciadamente, hay
herramientas que permiten que un intruso suplante una dirección
MAC.
Para obtener más información, consulte Microsoft Wi-Fi Technology

Center:
http://www.microsoft.com/windowsserver2003/technologies/networking
/wifi/default.mspx
5.3. Posibles soluciones
• Autenticación de nivel 2 basada en contraseñas

o PEAP/MSCHAP v2 de IEEE 802.1x
• Autenticación de nivel 2 basada en certificados
o EAP-TLS de IEEE 802.1x
• Otras opciones
o Conexiones VPN
 L2TP/IPsec (la solución preferida) o PPTP
 No permite usuarios móviles
 Resulta útil cuando se utilizan zonas interactivas
inalámbricas públicas
 No se produce la autenticación de los equipos ni se procesa
la configuración establecida en directivas de grupo
o IPSec
 Problemas de interoperabilidad
o Hay varios protocolos y soluciones de terceros que permiten

mejorar la seguridad de las redes WLAN. La solución
recomendada es utilizar la Autenticación de nivel 2.
o La Autenticación de nivel 2 basada en contraseñas es
relativamente fácil de implementar porque no requiere una
Infraestructura de clave pública (PKI, Public Key Infrastructure). El
protocolo que se utiliza para esto es la autenticación de IEEE
802.1x que utiliza el Protocolo protegido de autenticación
extensible (PEAP, Protected Extensible Authentication Protocol) y
el Protocolo de autenticación por desafío mutuo de Microsoft
(MSCHAP, Microsoft Challenge Handshake Authentication
Protocol) v2 en la autenticación de los clientes.
o Si su organización puede implementar una PKI, una solución más
segura es utilizar la Seguridad del nivel de transporte del protocolo
de autenticación extensible (EAP-TLS, Extensible Authentication
41
Protocol Transport Layer Security) para el acceso de red 802.1x.
EAP-TLS utiliza certificados para la autenticación mutua de puntos
de acceso y clientes inalámbricos.
o En ciertas circunstancias, es posible utilizar otras opciones:
 Conexiones VPN: requiere que los usuarios de dispositivos

inalámbricos se conecten mediante tecnologías VPN que
puedan cifrar sus datos. Sin embargo, las conexiones VPN
suelen requerir que los usuarios establezcan un túnel VPN
independiente una vez que se conectan a la red inalámbrica.
Esta solución no se puede utilizar si hay usuarios móviles y
sólo resulta útil en ciertos escenarios, por ejemplo, al
establecer una conexión a través de conexiones
inalámbricas inseguras, por ejemplo, en una zona interactiva
inalámbrica pública. Además, ya que en las conexiones VPN
no se realiza la autenticación de ningún equipo, la
configuración de los equipos establecida en las directivas de
grupo no se procesa.
 IPSec: puede configurar directivas IPSec mediante

directivas de grupo. Sin embargo, es posible que no todos
los equipos cliente admitan IPSec. Además, IPSec no puede
cifrar algunos tipos de tráfico de red. Los problemas de
interoperabilidad de IPSec podrían ocasionar otras
dificultades adicionales. Con frecuencia, IPSec no es una
solución viable para proteger el tráfico inalámbrico.
5.4. Comparaciones de la seguridad de WLAN
A continuación se comparan las diferentes soluciones.
Tipo de seguridad Nivel de Facilidad de Facilidad

de WLAN seguridad implementación de uso e integración
WEP estático Bajo Alta Altos
PEAP de IEEE 802.1X Alto Media Altos
TLS de IEEE 802.1x Alto Baja Altos

Alto
VPN Media Bajos
(L2TP/IPSec)
IPSec Alto Baja Bajos
42
o Observe que, cuanto mayor es la seguridad, más difícil se vuelve la
implementación. No obstante, puede ahorrar tiempo en la
implementación de soluciones muy seguras si la centraliza y utiliza
herramientas de administración centralizada, por ejemplo,
directivas de grupo.
Información adicional (puede estar en inglés):
o 5-Minute Security Advisor-Deploying 802.1X with Windows XP:

http://www.microsoft.com/technet/columns/security/5min/5min-303.asp
o Windows Server 2003 Planning Guide, Designing Wireless LAN

Security Using 802.1x:
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/pl
an/swlanpg6.asp
o The Advantages of PEAP: A Standard Approach to User

Authentication for IEEE 802.11 Wireless Network Access:
http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.
mspx
5.5. 802.1x
• Define un mecanismo de control de acceso basado en puertos

o Funciona en cualquier tipo de red, tanto inalámbrica como con
cables
o No hay ningún requisito especial en cuanto a claves de cifrado
• Permite elegir los métodos de autenticación con EAP
o Es la opción elegida por los elementos del mismo nivel en el
momento de la autenticación
o El punto de acceso no tiene que preocuparse de los métodos de
EAP
• Administra las claves de forma automática
o No es necesario programar previamente las claves de cifrado para
la red inalámbrica
o El estándar 802.1x soluciona las limitaciones más importantes del
estándar 802.11:
 IEEE 802.1x es un estándar para el control de acceso de
red basado en puertos (ya sea con cables o inalámbrico)
que proporciona acceso de red autenticado a redes
inalámbricas 802.11 y a redes Ethernet con cable. El control
de acceso de red basado en puertos utiliza las
características físicas de una infraestructura de LAN
43
conmutada para autenticar los dispositivos que se conectan
a un puerto LAN e impedir el acceso a ese puerto en los
casos en los que el proceso de autenticación no se realiza
correctamente.
• Durante la interacción del control de acceso de red
basado en puertos, un puerto LAN adopta una de dos
funciones: autenticador o solicitante. En la función de
autenticador, un puerto LAN exige la autenticación
antes de permitir que el usuario tenga acceso a los
servicios conectados al puerto. En la función de
solicitante, un puerto LAN solicita el acceso a los
servicios conectados al puerto que actúa como
autenticador. Un servidor de autenticación, que
puede ser una entidad independiente o ubicada junto
al autenticador, comprueba las credenciales del
solicitante en nombre del autenticador. El servidor de
autenticación responde entonces al autenticador y le
indica si el solicitante dispone de autorización para
tener acceso a los servicios del autenticador.
• El control del acceso a la red basado en puertos del
autenticador define dos puntos lógicos de acceso a la
LAN, a través de un puerto LAN físico. El primer
punto de acceso lógico, el puerto no controlado,
permite el intercambio de datos entre el autenticador
y el resto de los equipos de la LAN,
independientemente del estado de autorización del
equipo. El segundo punto de acceso lógico, el puerto
controlado, permite el intercambio de datos entre un
usuario de LAN autenticado y el autenticador.
 IEEE 802.1x utiliza protocolos de seguridad estándar, como
el Servicio de autenticación de Internet (IAS, Internet
Authentication Service) de Servicio de usuario de acceso
telefónico de autenticación remota (RADIUS, Remote
Authentication Dial-In User Service), para permitir la
identificación centralizada de los usuarios, la autenticación,
la administración dinámica de claves y servicios de cuentas.
 El uso de IEEE 802.1x ofrece una estructura efectiva para
autenticar y controlar el tráfico de usuarios a una red
protegida, además de las claves de cifrado que varían de
forma dinámica. 802.1x vincula el Protocolo de autenticación
extensible (EAP, Extensible Authentication Protocol) a
medios LAN inalámbricos y con cables, y admite el uso de
varios métodos de autenticación, como son las tarjetas de
token, Kerberos, las contraseñas de un solo uso, los
certificados y la autenticación de claves públicas.
44
5.6. 802.1x en 802.11
Cap5-18.JPG
o Al utilizar IEEE 802.1x y EAP-TLS como método de autenticación,

se emplean certificados de clave pública (no contraseñas) para
realizar la autenticación y obtener claves de cifrado. Los clientes y
los puntos de acceso realizan la autenticación mutua.
o EAP protegido (PEAP) es un protocolo de autenticación que utiliza
la Seguridad del nivel de transporte (TLS, Transport Layer
Security) para mejorar la seguridad de otros métodos de
autenticación EAP. PEAP para el Cliente de autenticación 802.1x
de Microsoft también proporciona compatibilidad con PEAP-EAP-
MSCHAPv2, que utiliza certificados para la autenticación del
servidor y credenciales basadas en contraseñas para la
autenticación del cliente. El uso de PEAP-EAP-MSCHAPV2 no
implica una implementación de PKI extensa.
o Para habilitar 802.1x, debe implementar un servidor RADIUS (un
equipo donde se ejecute IAS), un controlador de dominio con
Windows Server 2003 o Windows Server 2000 con Service Pack 4,
y un punto de acceso inalámbrico compatible con 802.1x. También
puede necesitar una entidad emisora de certificados que emita los
certificados.
45
o Para saber cómo funciona 802.1x, a continuación se muestran las
interacciones que se producen entre los elementos de 802.1x:
• El cliente intenta establecer una conexión inalámbrica.

• El proceso de asociación de 802.11 comienza.
• Puesto que el cliente no ha sido autenticado, se bloquea el
acceso.
• Para comenzar el proceso, el cliente envía un mensaje de
inicio de EAP sobre LAN (EAPOL, EAP-Over-LAN).
• El punto de acceso responde con un mensaje de identidad
de solicitud de EAP (EAP-Request/Identity), que solicita la
identidad del cliente.
• El cliente envía un mensaje de identidad de respuesta de
EAP (EAP-Response/Identity).
• El punto de acceso reenvía la identidad del cliente al
servidor RADIUS.
• El servidor de autenticación utiliza un algoritmo de
autenticación para comprobar la identidad del cliente. Podría
tratarse de certificados digitales o de algún otro tipo de
autenticación de EAP, como MSCHAPv2. Para ello, el
servidor RADIUS envía un mensaje de desafío de acceso al
punto de acceso.
• El punto de acceso envía el desafío al cliente en forma de
un mensaje de solicitud de EAP (EAP-Request).
• El cliente responde con un mensaje de respuesta de EAP
(EAP-Response), que contiene sus credenciales en
respuesta al desafío.
• El punto de acceso reenvía las credenciales al servidor
RADIUS como mensaje de solicitud de acceso de RADIUS
(Radius-Access-Request).
• El servidor de autenticación enviará un mensaje de
aceptación o rechazo de acceso de RADIUS (Radius-
Access-Accept o Reject) al punto de acceso.
• El punto de acceso envía un paquete de éxito o rechazo de
EAP (EAP-success o EAP-reject) al cliente. Si el servidor
RADIUS aceptó el cliente, el punto de acceso pasará el
puerto del cliente a un estado autorizado y reenviará el
tráfico adicional.
• El punto de acceso envía una clave de cifrado al punto de
acceso mediante un mensaje de clave de EAPOL. El cliente
genera una clave WEP idéntica. El cliente y el punto de
acceso cifran entonces todas las comunicaciones mediante
esta clave WEP.
46
5.7. Requisitos del sistema para 802.1x
• Cliente: Windows XP
• Servidor: IAS de Windows Server 2003
o Servicio de autenticación Internet: nuestro servidor RADIUS
o Certificado en el equipo IAS
• 802.1x en Windows 2000
o El cliente e IAS deben tener SP3
o Vea el artículo 313664 de KB
o No se admite la configuración rápida
en el cliente
o Sólo se admiten EAP-TLS y MS-CHAPv2
 Es posible que los futuros métodos de EAP en Windows XP
y Windows Server 2003 no se puedan utilizar
o La solución recomendada para utilizar 802.1x con Windows es

instalar Windows XP en el equipo cliente.
o El servidor RADIUS debería ejecutar Windows Server 2003 con el
Servicio de autenticación Internet (IAS, Internet Authentication
Service) instalado. El servidor IAS también debe tener instalado un
certificado.
o Es posible utilizar Windows 2000 para la autenticación basada en
802.1x. Para ello, compruebe que el servidor IAS Server y los
clientes tienen instalado el Service Pack de Windows 2000 más
reciente. El artículo 313664 de Knowledge Base (Base de
conocimiento) contiene información adicional y vínculos a archivos
que deben descargarse.
o Cuando se utiliza Windows 2000, el software de cliente requiere
una configuración manual porque en esta plataforma no se admite
la configuración rápida. Además, el único método de autenticación
requerido es TLS y MS-CHAPv2. Los métodos EAP futuros que se
puedan incluir en Windows XP y Windows Server 2003 podrían no
ser utilizados en Windows 2000.
5.8. Configuración de 802.1x
• Configurar Windows Server 2003 con IAS

• Unir un dominio
• Inscribir un certificado de equipo
• Registrar IAS en Active Directory
• Configurar el registro RADIUS
• Agregar el punto de acceso como cliente RADIUS
47
• Configurar el punto de acceso para RADIUS y 802.1x
• Crear una directiva de acceso para clientes inalámbricos
• Configurar los clientes: no olvide importar el certificado raíz
Los pasos para configurar 802.1x en la red son:
1. Configurar un equipo para ejecutar Windows Server 2003 e instalar

el componente IAS.
2. Unir un dominio a la red corporativa.
3. Inscribir un certificado de equipo para el servidor.
4. Registrar IAS en Active Directory agregando el equipo al grupo del
servidor IAS y acceso remoto.
5. Configurar el registro de RADIUS en IAS.
6. Agregar un punto de acceso inalámbrico como cliente RADIUS en
el servidor IAS.
7. Configurar el punto de acceso para utilizar RADIUS y 802.1x.
8. Crear una directiva de acceso para clientes inalámbricos
9. Configurar los equipos cliente para utilizar 802.1x. Obtener un
certificado para la entidad emisora de certificados (CA, Certificate
Authority) raíz de la entidad que emitió el certificado de equipo del
servidor IAS y agregarlo como raíz de confianza en el equipo
cliente. Para ello, puede utilizar Active Directory.
5.9. Directiva de acceso
• Condición de directiva
o El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con
otro tipo de red inalámbrica
o Grupo de Windows = <algún grupo de AD>
 Opcional; proporciona control administrativo
 Debe contener cuentas de usuario y de equipo
48
Cap5-20.jpg
La directiva de acceso también debe contener un perfil. La configuración

que debe establecer en el perfil es la que se indica a continuación:
• Tiempo de espera. Utilice 60 minutos para 802.11b o 10 minutos para

802.11a u 802.11b. Cuando finalice el tiempo de espera, el cliente
deberá volver a establecer la conexión, lo que sucede
automáticamente. El tiempo de espera está diseñado para reducir la
cantidad de datos que un intruso es capaz de interceptar y utilizar para
realizar un ataque por la fuerza bruta contra la clave de cifrado.
• No elija ningún método de autenticación regular; en su lugar, elija
EAP.
• En la página EAP Providers (Proveedores de EAP), elija Protected
EAP (PEAP) (EAP protegido).
49
• Utilice el certificado de equipo que instaló en el servidor IAS.
• Elija el método de cifrado más seguro disponible. Actualmente, es
MPPE de 128 bits, deshabilitar el resto de métodos de cifrado, donde
MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado
punto a punto de Microsoft).
• Por último, establezca el atributo Ignore-User-Dialin-Properties =
True.
Para obtener información detallada sobre cómo configurar 802.1x,

consulte la sección sobre recursos de implementación en
http://www.microsoft.com/windowsserver2003/technologies/network
ing/wifi/default.mspx
(este sitio está en inglés)
5.11. Wireless Protected Access (WPA)
• Especificación de mejoras en la seguridad interoperables y basadas

en estándares que aumenta enormemente el nivel de protección de
los datos y el control de acceso para los sistemas actuales y futuros
de LAN inalámbrica
• WPA requiere la autenticación de 802.1x para el acceso de red
• Objetivos
o Cifrado mejorado de los datos

o Permitir la autenticación de los usuarios
o Compatible con versiones futuras de 802.11i
o Proporcionar una solución que no sea RADIUS para las oficinas
domésticas o de pequeño tamaño
• Wi-Fi Alliance comenzó las pruebas de certificación de la

interoperabilidad de los productos de WPA en febrero de 2003
o Cuando se creó, WPA tenía dos objetivos de diseño principales en

relación a la seguridad. El primero era proporcionar un cifrado de
datos mejorado, que era poco seguro con WEP. El segundo
objetivo era permitir la autenticación de usuarios, que no era
posible en WEP.
o Para lograr el primer objetivo, WPA utiliza el Protocolo de
integridad temporal de claves (TKIP, Temporal Key Integrity
Protocol). TKIP proporciona mejoras en el cifrado, entre las que se
50
incluyen funciones de mezcla de claves en cada paquete, un
método de comprobación de la integridad de mensajes (MIC,
Message Integrity Check), también conocido como Michael, y un
vector de inicialización extendido (IV, Initialization Vector) con
reglas de secuenciación.
o WPA implementa 802.1x y EAP para permitir la autenticación de
usuarios. Al igual que en todas las implementaciones de 802.1x, se
necesita una infraestructura de RADIUS (IAS) para realizar la
autenticación.
o WPA será compatible con la especificación de seguridad de IEEE
802.11i que está siendo desarrollada por el IEEE. WPA es un
subconjunto del borrador de 802.11i, que toma ciertas partes del
borrador de 802.11i que ya está preparado para aparecer en el
mercado, como su implementación de 802.1x y TKIP. Estas
características también se pueden habilitar en la mayor parte de
los productos certificados de Wi-Fi como actualización de software.
o En un entorno doméstico o de pequeña oficina u oficina doméstica
(SOHO, Small Office/Home Office), donde no hay servidores de
autenticación centrales ni una estructura de EAP, WPA se ejecuta
en un modo especial. Este modo también se conoce como clave
previamente compartida (PSK, Pre-Shared Key). PSK se ha
diseñado para que sea fácil de configurar, con lo que permite al
usuario doméstico utilizar las claves o contraseñas especificadas
manualmente. El usuario doméstico escribe una contraseña
(también denominada clave maestra) en el punto de acceso o
puerta de enlace inalámbrica doméstica y cada equipo que se
encuentra en la red inalámbrica Wi-Fi. Después, el proceso de
WPA es automático:
 La contraseña permite que únicamente los
dispositivos con una contraseña que coincida se unan
a la red, con lo que se evita el acceso de fisgones y
otros usuarios no autorizados.
 La contraseña activa automáticamente el proceso de
cifrado de TKIP, que se ha mencionado
anteriormente.
o Una limitación de seguridad importante de WPA en el modo
doméstico es que algunos fabricantes de puntos de acceso
inalámbricos permiten que los usuarios especifiquen contraseñas
que no son complejas. La ausencia de contraseñas complejas
puede hacer que el modo doméstico sea excepcionalmente
vulnerable si se utilizan contraseñas poco seguras y predecibles.
• Utilice la autenticación de 802.1x
51
• Organice en grupos a los usuarios y equipos inalámbricos
• Aplique directivas de acceso inalámbrico con directivas de grupo
• Utilice EAP-TLS para la autenticación basada en certificados y PEAP
para la autenticación basada en contraseñas
• Configure una directiva de acceso remoto para permitir la
autenticación de los usuarios y de los equipos
• Desarrolle un método que se ocupe de los puntos de acceso
sospechosos, como la autenticación de 802.1x basada en LAN, las
encuestas a sitios, la supervisión de la red y el entrenamiento de los
usuarios
Se recomienda seguir las prácticas siguientes al utilizar Active Directory

en una red donde se utiliza acceso inalámbrico:
o Utilice la autenticación de 802.1x siempre que se conecte a una

red inalámbrica 802.11. 802.1x es un estándar de IEEE que mejora
la seguridad y la implementación al permitir la identificación
centralizada de los usuarios, la autenticación, la administración
dinámica de claves y el uso de cuentas.
o Organice en grupos a los usuarios y equipos inalámbricos para
facilitar la administración. A continuación, puede centralizar la
administración de directivas si aplica una directiva a estos grupos.
Esto facilita la comprobación de qué directiva se aplica y a qué
usuarios o equipos.
o Planee su directiva inalámbrica minuciosamente. El Asistente para
conjunto resultante de directivas (RSOP, Resultant Set of Policy)
se puede utilizar para saber exactamente qué directiva se aplica a
cualquier objeto del directorio.
o EAP-TLS es un método de autenticación mutua, lo que significa
que tanto el cliente como el servidor prueban sus identidades entre
sí. Durante el intercambio de EAP-TLS, el cliente envía su
certificado de usuario y el servidor envía su certificado de equipo.
Para EAP-TLS se requiere una infraestructura de clave pública.
PEAP-MSCHAPv2 se puede utilizar en organizaciones que no
implementen una PKI.
o Realizar la autenticación del equipo permite al dominio autenticar
el dispositivo, lo que es necesario para la ejecución de las
directivas del grupo de equipos y la configuración de la instalación
de software.
o Cualquier empleado puede comprometer la seguridad de los datos
corporativos si conecta un punto de acceso inalámbrico (WAP) a
una clavija disponible de la red. En el peor de los casos, un WAP
malintencionado que se introduzca en un entorno corporativo
podría incluso no tener habilitado WEP, lo que permitiría la
asociación y, en última instancia, el acceso a la red a cualquier
posible intruso. Debe desarrollar métodos para ocuparse de la
52
posibilidad de que existan puntos de acceso sospechosos. Esto
incluye requerir la autenticación basada en 802.1x en los
conmutadores para garantizar el control de acceso desde la red
con cables, realizar encuestas a los sitios y supervisar la red para
detectar los puntos de acceso sospechosos, y entrenar a los
usuarios.
53
6. Protección de comunicaciones mediante IPSec
• En este tema, se explicará cómo proteger las comunicaciones de red

entre equipos mediante IPSec. Específicamente se tratará:

• Introducción a IPSec
• Escenarios de IPSec
• Implementación del filtrado de paquetes de IPSec
• El filtrado de paquetes no es suficiente para proteger los servidores
• Tráfico que IPSec no filtra
• Comunicaciones internas seguras
• IPSec para la replicación de dominios
• Acceso a VPN a través de medios que no son de confianza
• Rendimiento de IPSec
• Recomendaciones
Cap5-21.jpg
o IPSec ayuda a lograr los siguientes objetivos de seguridad en una

red:
 Defensa de los clientes

 Confidencialidad del tráfico de red
 Acceso remoto seguro
6.2. Introducción a IPSec
54
• ¿Qué es Seguridad de IP (IPSec)?
o Un método para proteger el tráfico IP
o Una estructura de estándares abiertos desarrollada por el Grupo
de trabajo de ingeniería de Internet (IETF, Internet Engineering
Task Force)
• ¿Por qué se debe utilizar IPSec?

o Para garantizar que las comunicaciones se cifran y se autentican
en el nivel IP
o Para proporcionar seguridad en el transporte independiente de las
aplicaciones o de los protocolos del nivel de aplicación
o IPSec es la solución a largo plazo para la creación de redes

seguras. Proporciona una línea de defensa fundamental contra los
ataques de las redes privadas y desde Internet, al mismo tiempo
que equilibra la seguridad con la facilidad de uso.
o IPSec tiene dos objetivos:
1. Proteger la confidencialidad y la integridad del contenido de
los paquetes IP y autenticar al emisor de los paquetes.
2. Proporcionar una línea de defensa frente a los ataques de
red realizados a través del filtrado de paquetes y exigir
comunicaciones de confianza.
o Ambos objetivos se cumplen gracias al uso de servicios de
protección basados en criptografía, protocolos de seguridad y
administración dinámica de claves. Estos fundamentos
proporcionan la resistencia y la flexibilidad necesarias para
proteger las comunicaciones entre equipos de redes privadas,
dominios, sitios, sitios remotos, extranets y clientes de acceso
telefónico. IPSec se puede utilizar incluso para bloquear la
recepción o transmisión de tipos de tráfico específicos.
o IPSec se basa en un modelo de seguridad completo, que establece
confianzas entre una dirección IP de origen y otra de destino, y las
protege. No es necesario que la propia dirección IP se considere
una identidad. En cambio, el sistema que subyace tras ella tiene
una identidad que se valida a través de un proceso de
autenticación. Los únicos equipos que deben tener constancia del
tráfico que se protege son el emisor y el receptor. Cada equipo se
ocupa de la seguridad en su extremo respectivo, bajo la suposición
de que el medio sobre el que la comunicación tiene lugar no es
seguro. Cualquier equipo que únicamente enrute los datos del
origen al destino no tiene que admitir el uso de IPSec, a menos
que entre ambos equipos se realice el filtrado de paquetes al estilo
de un servidor de seguridad o la traducción de direcciones de red.
Este modelo permite que IPSec se implemente correctamente en
muchos escenarios corporativos.
55
o IPSec pasa completamente desapercibido para las aplicaciones
porque los servicios de cifrado, integración y autenticación se
implementan en el nivel de transporte. Las aplicaciones siguen
comunicándose normalmente entre sí con los puertos TCP y UDP.
6.3. Escenarios de IPSec
• Filtrado básico para permitir o bloquear paquetes

• Comunicaciones seguras en la LAN interna
• Replicación en los dominios a través de servidores de seguridad
• Acceso a VPN a través de medios que no son de confianza
Cap5-22.jpg
56
o IPSec puede servir de ayuda en diversos escenarios comunes que
se enumeran. Al crear una directiva IPSec en una organización
para alguno de los escenarios de este punto, considere lo
siguiente:
Evalúe el tipo de información que se envía a través de la red.
• ¿Son datos financieros confidenciales, información
propietaria o correo electrónico? Algunos departamentos
de una compañía pueden requerir un nivel mayor de
seguridad que los demás debido a su función específica.
Considere lo siguiente:
• ¿Qué debe proteger? ¿Debe proteger el tráfico entre
algunos equipos o de todos ellos, o sólo para algunos
protocolos o puertos específicos?
• ¿Cómo debe protegerlo? ¿Debe proteger el tráfico con
Encabezado de autenticación (AH) o también con Carga
de seguridad encapsuladora (ESP, Encapsulation
Security Payload) y con qué grado de seguridad?
• ¿Dónde debe protegerlo? ¿Debe protegerlo sólo a través
de conexiones de acceso remoto o también a través de
la red de área local?
• ¿Quién va a administrar la directiva? ¿Los
administradores de dominios, de servidores o de equipos
locales?
• ¿Funcionará la configuración de cifrado en todos los
equipos pertinentes? ¿Se tendrá acceso a los datos en
equipos con criptografía segura (cifrado 3DES) y también
en equipos donde se utilice criptografía estándar (DES)?
o Determine dónde se almacena la información, cómo se enruta a

través de la red y desde qué equipos se puede tener acceso a ella.
Estos datos proporcionan información de la velocidad, capacidad y
utilización de la red antes de implementar IPSec, lo que resulta útil
para optimizar el rendimiento.
o Evalúe su vulnerabilidad ante varios tipos de ataques de red.
o Diseñe y documente un plan de seguridad de red en toda la
compañía. Tenga en cuenta lo siguiente:
• La estructura de seguridad general de Windows 2000 y de
las versiones posteriores, incluido el uso de Active Directory
y la forma en que se aplica la seguridad a los objetos de
directiva de grupo.
• Los escenarios de comunicación que requiere, por ejemplo,
intranet, acceso remoto, extranets para socios comerciales y
comunicación entre sitios (de enrutador a enrutador).
• El nivel de seguridad necesario para cada escenario. Por
ejemplo, puede decidir que sólo se requiere confidencialidad
en las comunicaciones de Internet.
57
o Diseñe, cree y pruebe las directivas de IPSec para cada escenario.
Esto le permite aclarar y especificar qué directivas y estructuras de
directivas son necesarias. Durante las pruebas de los escenarios
de implementación, utilice cargas de trabajo estándar en las
aplicaciones con el fin de obtener resultados realistas. Durante las
pruebas iniciales, puede ver el contenido de los paquetes mediante
el Monitor de red de Microsoft o con un rastreador de red con el
nivel de método de seguridad Sólo integridad o un método de
seguridad personalizado establecido como AH porque el uso de
Cifrado e integridad o ESP con cifrado impedirá ver los paquetes.
6.4. Implementación del filtrado de paquetes de IPSec
• Filtros para tráfico permitido y bloqueado

• No se produce ninguna negociación real de las asociaciones de
seguridad de IPSec
• Los filtros se solapan: la coincidencia más específica determina la
acción
• No proporciona filtrado de estado
• Se debe establecer "NoDefaultExempt = 1" para que sea seguro
Puerto de Puerto de
Desde IP A IP Protocolo Acción
origen destino
Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear
Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir
o Aunque IPSec no proporciona funciones completas de servidor de

seguridad, se puede utilizar para permitir o bloquear estáticamente
el tráfico en función de combinaciones de direcciones de origen o
destino, según el protocolo IP y los puertos TCP y UDP. Algunas
de las funciones de los servidores de seguridad estándar que
IPSec no ofrece son la inspección de estado, el conocimiento del
protocolo de aplicación, la inspección de intrusos y el registro de
paquetes.
o Los administradores deben empezar por planear el cambio de
todas las implementaciones de IPSec nuevas y existentes para
utilizar la configuración de la clave del Registro
NoDefaultExempt=1 en los equipos basados en Windows 2000 o
Windows XP. La clave del Registro NoDefaultExempt=1 se admite
en Windows Server 2003 para que los administradores puedan
restaurar el comportamiento de exención predeterminado por
58
compatibilidad con las versiones anteriores de diseños de
directivas IPSec y con los programas. Durante la actualización a
Windows Server 2003, se mantiene el valor de configuración de la
clave del Registro NoDefaultExempt=1 existente.
o Cuando haya analizado y determinado a qué tráfico desea permitir
el uso del filtrado de paquetes IPSec, haga lo siguiente para
agregar, modificar o quitar filtros IPSec:
• Cree una consola que contenga Directivas de seguridad
IP. O bien, abra un archivo de consola guardado que
contenga Directivas de seguridad IP.
• Haga doble clic en la directiva que desee modificar.
• Haga doble clic en la regla que contenga la lista de filtros
IP que desee modificar.
• En la ficha Lista de filtros IP, haga doble clic en la lista de
filtros IP que contenga el filtro IPSec que desee
modificar.
• En el cuadro de diálogo Lista de filtros IP, elija entre las
opciones siguientes:
• Para agregar un filtro, haga clic en Agregar.
• Para modificar un filtro existente, seleccione el que
desee y haga clic en Modificar.
• Para quitar un filtro existente, seleccione el que
desee y haga clic en Quitar.
• Si va a agregar o a modificar un filtro, en Propiedades
de filtros IP, haga clic en la ficha Direcciones y, después,
seleccione la Dirección de origen:
Seleccione Para proteger paquetes de

Mi dirección IP Todas las direcciones IP del equipo para el
que va a configurar este filtro.
Cualquier dirección IP Cualquier equipo.
Un DNS específico El nombre del sistema de nombres de dominio

(DNS, Domain Name System) que especifique en Nombre de host.
Una dirección IP específica La dirección IP que especifique en Dirección

IP.
Una subred IP específica La subred IP, definida por la dirección IP que
especifique en Dirección IP y máscara de subred.
Servidores DNS<dinámicos> Los servidores DNS del equipo para el que

está configurando este filtro.
Servidores WINS<dinámicos> Los servidores WINS del equipo para el que

está configurando este filtro.
59
Servidor DHCP<dinámico> El servidor DHCP del equipo para el que está
configurando este filtro.
Puerta de enlace predeterminada <dinámica> La puerta de enlace

predeterminada del equipo para el que está configurando este filtro.
1. Haga click en Dirección de destino y repita el paso 6 para la dirección de

destino.
2. Seleccione la opción Reflejar imagen apropiada.
3. En la ficha Descripción, en Descripción, escriba una descripción para este
filtro (por ejemplo, especifique a qué equipos y tipos de tráfico se aplica).
4. Si requiere filtrado IP adicional para un protocolo o número de puerto
específicos, en la ficha Protocolo, configure las opciones avanzadas del
filtro.
6.5. El filtrado de paquetes no es suficiente para proteger un

servidor
• Los paquetes IP suplantados contienen consultas o contenido

peligroso que puede seguir llegando a los puertos abiertos a través de
los servidores de seguridad
• IPSec no permite la inspección de estado
• Muchas herramientas que utilizan los piratas informáticos emplean los
puertos de origen 80, 88, 135 y otros para conectar a cualquier puerto
de destino
o Si se bloquea la comunicación a puertos específicos de un

servidor, es más difícil que un intruso tenga acceso a éste o que el
servidor se utilice con el fin de atacar a otros equipos, pero no se
impide completamente la posibilidad de un ataque. Puede reforzar
la seguridad mediante el filtrado IPSec para controlar exactamente
el tipo de comunicación permitida entre los sistemas.
o También puede utilizar IPSec con el componente Traducción de
direcciones de red (NAT, Network Address Translation) o Servidor
de seguridad básico de RRAS o con el filtro de paquetes IP para
mejorar el filtrado de IPSec del tráfico entrante o saliente. Sin
embargo, no debería depender de este filtrado de paquetes para
reemplazar la función de servidor de seguridad.
6.6. Tráfico que IPSec no filtra
60
• Direcciones de difusión IP
• No puede proteger a varios receptores
• Direcciones de multidifusión
• De 224.0.0.0 a 239.255.255.255
• Kerberos: puerto UDP 88 de origen o destino
• Kerberos es un protocolo seguro, que el servicio de negociación IKE
puede utilizar para la autenticación de otros equipos en un dominio
• IKE: puerto UDP 500 de destino
• Obligatorio para permitir que IKE negocie los parámetros de seguridad de
IPSec
• Windows Server 2003 configura únicamente la exención predeterminada
de IKE
o La característica IPSec de Windows 2000 y Windows Server 2003

no se diseñó como servidor de seguridad basado en host con
todas las funciones. Su propósito era permitir un filtrado básico de
tipo permitir y bloquear mediante direcciones de red e información
del protocolo y de los puertos en los paquetes de red.
o IPSec también se diseñó como herramienta administrativa para
mejorar la seguridad de las comunicaciones de forma que sea
transparente para los programas. Por ello, permite el filtrado del
tráfico necesario para negociar la seguridad del modo de
transporte de IPSec o el modo de túnel de IPSec, principalmente
en entornos de intranet donde se pueden aplicar confianzas a los
equipos con el servicio Kerberos o con rutas de acceso específicas
a través de Internet donde se puedan utilizar certificados digitales
de PKI. Para facilitar esto, cierto tráfico está exento de la
configuración predeterminada de IPSec.
o De forma predeterminada, Windows Server 2003 quita todas las
exenciones predeterminadas, excepto la de IKE. Es posible que
haya que realizar cambios en el diseño de las directivas IPSec
actuales para poder utilizarlas en Windows Server 2003.
o Para encontrar más información sobre las limitaciones de IPSec,

consulte: http://support.microsoft.com/?kbid=253169
61
6.7. Comunicaciones internas seguras
• Utilice IPSec para permitir la autenticación mutua de dispositivos

o Utilice certificados o Kerberos
o La utilización de claves compartidas sólo es conveniente para
pruebas
• Utilice Encabezado de autenticación (AH) para garantizar la integridad de

los paquetes
o El Encabezado de autenticación proporciona integridad en los
paquetes
o El Encabezado de autenticación no cifra, con lo que se basa en los
sistemas de detección de intrusos de red
• Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico

sensible
o ESP proporciona integridad en los paquetes y confidencialidad
o El cifrado impide la inspección de los paquetes
• Planee minuciosamente qué tráfico debe protegerse
o Puede utilizar IPSec para proteger las comunicaciones dentro de la

red corporativa. Hay tres estrategias generales:
 Utilice IPSec para garantizar que sólo los equipos
autorizados, por ejemplo los integrantes de un dominio, se
comuniquen con los equipos de una red. Puede utilizar
Kerberos para implementar IPSec siempre y cuando los
equipos sean integrantes de uno de los dominios
corporativos. El uso de un certificado permite incluir los
equipos que no sean integrantes de un dominio en la
implementación de IPSec. Una clave previamente
compartida no proporciona suficiente seguridad para resultar
útil en un entorno que no sea de prueba.
 Para garantizar la integridad de los paquetes únicamente,
utilice Encabezado de autenticación (AH). El Encabezado de
autenticación permite la autenticación y comprobación de la
integridad de los paquetes pero no permite el cifrado. Dado
que el Encabezado de autenticación no cifra el tráfico de
red, deja que sea la detección de intrusos basada en red la
que inspeccione el tráfico.
 ESP cifra el tráfico sensible y proporciona confidencialidad.
El uso de ESP hace imposible utilizar sistemas de detección
de intrusos basados en red porque se cifra el tráfico de red.
 Planee siempre minuciosamente qué tráfico se debe
proteger y cómo.
62
o Diseño de directivas IPSec en:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pro
ddocs/datacenter/sag_IPSECimplemntg.asp
o Consideraciones especiales sobre IPSec en:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pro
ddocs/datacenter/sag_IPSecbpSpecial.asp
6.8. IPSec para la replicación de dominios
Utilice IPSec para la replicación a través de servidores de seguridad
• En cada controlador de dominio, cree una directiva IPSec para proteger

todo el tráfico a la dirección IP del otro controlador de dominio
Utilice ESP 3DES para el cifrado
Permita el tráfico a través del servidor de seguridad:
• Puerto UDP 500 (IKE)

• Protocolo IP 50 (ESP)
Cap5-23.jpg
o Si los controladores de dominio están separados mediante

servidores de seguridad, el tráfico normal de replicación requiere
que abra un gran número de puertos. Puede utilizar IPSec con el
fin de reducir el número de puertos que se abren. Para ello:
 En cada controlador de dominio, cree una directiva IPSec
para proteger todo el tráfico a la dirección IP del otro
controlador de dominio.
63
o Utilice ESP para cifrar el tráfico y elija el algoritmo de cifrado más
seguro disponible para IPSec basado en Windows, que es 3DES.
o En el servidor de seguridad, permita el paso de todo el tráfico que
provenga de o se dirija a:
 El puerto UDP 500 de cada controlador de dominio, que es
utilizado por IKE
 El protocolo IP 50, que es utilizado por ESP
6.9. Acceso de VPN a través de medios que no son de

confianza
• VPN de cliente
o Utilice L2TP/IPSec
• VPN de sucursal
o Entre Windows 2000 o Windows Server, con RRAS: utilice túnel
L2TP/IPSec (fácil de configurar, aparece como una interfaz
enrutable)
o A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo
de túnel puro de IPSec
o A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice
PPTP (IPSec no está disponible)
o IPSec puede utilizarse para establecer una VPN a través de un

medio que no es de confianza. Hay dos tipos de VPN:
 VPN de cliente. Los clientes siempre utilizan L2TP junto con
IPSec cuando establecen una conexión VPN basada en
IPSec con un servidor VPN donde se ejecute Windows 2000
o Windows Server 2003. L2TP encapsula las
comunicaciones de cliente e IPSec permite cifrar el tráfico.
(Las conexiones VPN del cliente Windows también pueden
utilizar PPTP.)
 VPN de sucursal. Las conexiones VPN de sucursal se
establecen entre dos puertas de enlace VPN y permiten las
comunicaciones entre todos los clientes conectados a ellas.
No es necesario configurar ningún cliente, sólo las puertas
de enlace VPN. El protocolo que se utiliza depende de las
capacidades del servidor remoto con el que se está
estableciendo una conexión.
o Consulte “Designing and Planning IPSec Policies” en:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/sag_IPSECimplemntg.asp
64
o Consulte “Special IPSec Considerations” en:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/sag_IPSecbpSpecial.asp
6.10. Rendimiento de IPSec
• El procesamiento de IPSec tiene algunas consecuencias en el

rendimiento
o Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos
 5 recorridos de ida y vuelta
 Autenticación: Kerberos o certificados
 Generación de claves criptográficas y mensajes cifrados
 Se realiza una vez cada ocho horas de forma
predeterminada y se puede configurar
o El cambio de claves de la sesión es rápido:< entre uno y dos
segundos, dos recorridos de ida y vuelta, una vez cada hora y se
puede configurar
o Cifrado de paquetes
• ¿Cómo se puede mejorar?

o Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la
velocidad de los dispositivos con cable
o Mediante CPU más rápidas
o El proceso de IPSec tiene varias consecuencias en el rendimiento

de las comunicaciones de red. Cuando implemente IPSec, debe
tener esto en cuenta.
 La consecuencia más apreciable se produce durante la
configuración de la sesión, cuando tiene lugar la generación
y el intercambio de claves. Generalmente, este proceso
tarda entre dos y cinco segundos, pero el tiempo exacto
depende de varios factores, como la velocidad de la red y si
en la autenticación de Kerberos se utilizan comunicaciones
con un controlador de domino.
 También afecta al rendimiento el cifrado de los paquetes, en
menor medida pero de forma continuada. En muchos casos,
las consecuencias en el rendimiento cuando la configuración
de la sesión ha finalizado son muy pequeñas e
imperceptibles para la mayor parte de las aplicaciones de
red.
o Puede atenuar las consecuencias de IPSec en el rendimiento
mediante adaptadores de red que descarguen el proceso
65
criptográfico en el hardware de la tarjeta de interfaz de red (NIC,
Network Interface Card) o mediante CPU más rápidas.
• Planee minuciosamente la implementación de IPSec

• Elija entre AH y ESP
• Utilice directivas de grupo para implementar directivas IPSec
• Considere el uso de NIC de IPSec
• No utilice nunca la autenticación con claves compartidas fuera de un
entorno de prueba
• Elija entre la autenticación basada en Kerberos o en certificados
• Tenga cuidado al requerir el uso de IPSec para las comunicaciones con
controladores de dominio y otros servidores de infraestructuras
o Antes de implementar cualquier solución IPSec, debe asegurarse

de que ha planeado cuidadosamente lo que desea llevar a cabo y
cómo implementarlo.
o Antes de utilizar IPSec, decida si sólo requiere autenticación, lo
que puede conseguir mediante Encabezado de autenticación, o si
también necesita confidencialidad, que requiere ESP.
o Al implementar IPSec, utilice directivas de grupo siempre que sea
posible. La utilización de directivas de grupo garantiza la
coherencia y que se exijan los requisitos corporativos.
o Considere la posibilidad de descargar el proceso criptográfico en
NIC si observa que el uso de IPSec crea un problema de
rendimiento. Con frecuencia, sólo unos pocos equipos requieren
esta clase de NIC.
o El uso de claves previamente compartidas es un método que
puede utilizarse con IPSec, pero sólo en un entorno de laboratorio
y para solucionar problemas. Las claves previamente compartidas
no proporcionan un grado suficiente de seguridad en un entorno de
producción.
o Utilice siempre la autenticación basada en Kerberos o en
certificados. El tipo que elija dependerá de sus requisitos. La
autenticación basada en Kerberos es más fácil de configurar pero
requiere que todos los equipos sean integrantes del dominio. Los
certificados permiten que todos los equipos que puedan emplear
IPSec se comuniquen entre sí, pero debe implementar una PKI
para utilizarlos.
o Como los clientes pueden requerir comunicaciones que no sean
seguras con los controladores de dominio y otros servidores de
infraestructuras, por ejemplo, con servidores DNS y DHCP, a fin de
poder establecer una asociación de seguridad, compruebe que sus
66
directivas IPSec para estos servidores no impiden las
comunicaciones.
67
7. Práctica a Inspección del nivel de aplicación en ISA Server
Publicación en Web Message Screener
Publicar un servidor Web en la red interna mediante Publicación en Web de ISA

Server:
En primer lugar, hará una publicación de un servidor Web en la red interna

mediante ISA Server. Dado que utiliza ISA Server para controlar todo el acceso
a los equipos de la red, debe configurarlo para dirigir las solicitudes de los
equipos externos a los internos en la organización. También demostrará el uso
del filtro Web de traducción de vínculos del paquete de características 1 de ISA
Server en las direcciones internas del servidor publicado y cómo asegurarse de
que ISA Server bloquea las solicitudes que usted no desea permitir.
Publicar un servidor Web interno con ISA Server

1. Introducción 2. Pasos
La organización tiene un servidor Web
interno al que los clientes externos deben
tener acceso. Configure ISA Server para
redirigir de forma segura las solicitudes
de los equipos externos al servidor Web
interno en la red.
El servidor denominado ISA ejecuta ISA
Server.
CAMBIE AL EQUIPO CLIENTE
El equipo representa un cliente Internet. 1. Abra Internet Explorer.
La página de inicio está configurada
como el FQDN del ISA Server. Cuando la
abra, Microsoft Internet Explorer indicará
que el sitio Web no se puede encontrar.
68
Crear un conjunto de destinos
CAMBIE AL ISA
1. Guía 2. Pasos
En ISA Server se utiliza un conjunto de
destinos para identificar qué solicitudes
se reenviarán a un servidor interno. ISA
Server inspeccionará la dirección URL de
la solicitud HTTP para asegurarse de que
se especifica la correcta. Si no lo es,
rechaza la solicitud. Éste es uno de los
modos en que ISA Server realiza el
filtrado del nivel de aplicación. Crearemos
un conjunto de destinos denominado
Página de inicio Web para el destino
FQDN del ISA Server.
Cree un conjunto de destinos 1. En el menú Inicio, seleccione Todos los

denominado Sitio público para el destino programas, Microsoft ISA Server y, después,
FQDN del ISA Server. abra Administración de ISA.
2. En el árbol de la consola, expanda
sucesivamente Servidores y matrices,
“Nombre del ISA” y, por último, Elementos de
directiva.
3. Haga click en Conjuntos de destinos.
4. En el panel de detalles, haga click en Crear un
conjunto de destinos.
5. En el cuadro de diálogo Nuevo conjunto de
destinos, en el cuadro Nombre, escriba Página
Web pública.
6. Haga click en Agregar.
7. En el cuadro de diálogo Agregar o modificar
destino, compruebe que la opción Destino esté
seleccionada.
8. En el cuadro Destino, escriba FQDN ISA.
9. Haga click en Aceptar.
10. Haga click en Aceptar para cerrar el cuadro de
diálogo Nuevo conjunto de destinos.
69
Crear una regla de publicación en Web
3. Guía 4. Pasos
El proceso de hacer que los servicios de
la red interna estén disponibles para los
usuarios externos se conoce como
publicación. Cuando usted publica
contenido en la red privada, ISA Server
se ocupa de todas las solicitudes
entrantes que provienen de los clientes
externos y las reenvía al servidor
apropiado en la red interna.
Cree una regla de publicación en Web 11. En Administración de ISA, en el árbol de la
denominada Página Web pública que consola, expanda Publicación.
redirija todo el tráfico de red para el 12. Haga click en Reglas de publicación en
conjunto de destinos que hemos creado Web.
anteriormente a “Server Interno”, que es 13. En el panel de detalles, haga click en Crear
el servidor Web público. una regla de publicación en Web.
14. En el Asistente para nuevas reglas de
publicación en Web, escriba Página Web
pública.
15. Haga click en Siguiente.
16. En la página Conjuntos de destinos, en el
cuadro Aplicar esta regla a, haga click en
Conjunto de destinos especificados.
17. En el cuadro Nombre, haga click en Página
Web pública.
19. En la página Tipo de cliente, haga click en
Cualquier petición.
21. En la página Acción de regla, haga click en
Redirigir la petición a un servidor Web
interno.
22. En el cuadro Redirigir la petición a un
servidor Web interno, escriba “Server
Interno”.
24. En la página Finalización del asistente,
haga click en Finalizar.
70
Ahora reinicie el servicio Proxy Web para 25. En el menú Herramientas administrativas,
comprobar que el cambio de abra Servicios.
configuración surte efecto de inmediato. 26. En el panel de detalles, haga click con el
Si no se hace esto, ISA Server podría botón secundario del mouse (ratón) en
esperar durante un breve período antes Microsoft Web Proxy y, después, haga click
de aplicar los cambios. De esta forma se en Reiniciar.
asegura que los diversos cambios de 27. Cuando el servicio se haya iniciado,
configuración realizados se aplican al minimice Servicios.
mismo tiempo.
Probar la regla de publicación en Web

CAMBIE AL CLIENTE
5. Guía 6. Pasos
Desde el equipo cliente, conecte al 1. En el equipo cliente, compruebe que Internet
servidor Web publicado en FQDN ISA. Explorer está abierto.
Internet Explorer muestra correctamente 2. Actualice la pantalla. Si Internet Explorer no
la página de inicio del usuario. Con esto muestra la página Web, haga click en el botón
se confirma que ha conseguido publicar Actualizar hasta que aparezca.
el sitio Web del equipo interno. Internet
Explorer muestra el sitio Web del equipo
interno, aunque se conecte al equipo ISA.
3. Deje abierto Internet Explorer.
71
9. Pasos siguientes
• Mantenerse informado sobre seguridad: suscribirse a boletines de

seguridad:http://www.microsoft.com/latam/technet/seguridad/boletines/
notificacion.asp
• Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/latam/technet/seguridad/practicas.asp
• Obtener aprendizaje adicional de seguridad
• Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/latam/technet/evento/default.asp
• Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm
En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:
 Obtener la información más reciente sobre seguridad.

 Obtener aprendizaje adicional de seguridad.
Para obtener más información:
• Sitio de seguridad de Microsoft (todos los usuarios)

http://www.microsoft.com/latam/seguridad
• Sitio de seguridad de TechNet (profesionales de IT)
http://www.microsoft.com/latam/technet/seguridad/default.asp
• Sitio de seguridad de MSDN (desarrolladores)
http://msdn.microsoft.com/security
(este sitio está en inglés)
Hay más información técnica para profesionales de tecnología de la información

y desarrolladores en los sitios Web siguientes:
o Sitio de seguridad de Microsoft (todos los usuarios)

http://www.microsoft.com/security
72

5-Implementación de Seguridad de La Red y Del Perímetro

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

5-Implementación de Seguridad de La Red y Del Perímetro

Cargado por

Copyright:

Formatos disponibles

Implementación de seguridad de la red y del perímetro

• Descripción de los fundamentos de seguridad de una red

En este tema se explicará la seguridad en una red. Específicamente, se

• Propósito y limitaciones de las defensas de perímetro

1.1. Defensa en profundidad

o Una estrategia de seguridad para una organización es más efectiva

o Este capitulo se centra en la seguridad de una red y de su

1.2. Propósito y limitaciones de las defensas de perímetro

• Los servidores de seguridad y enrutadores de borde configurados

o Los servidores de seguridad y enrutadores de borde configurados

o El perímetro de una red es el punto en el que la red interna de una

1.3. Propósito y limitaciones de las defensas de los clientes

o Las defensas de los clientes se incluyen en el nivel de defensa del

Clientes de seguridad alta

Entorno Stand - Alone

La guía de seguridad de Windows XP es similar a la guía Windows 2003 Server,

Adicionalmente a las plantillas de seguridad se pueden utilizar las plantillas

La guía también hace uso de una nueva característica de la política llamada

Se recomienda no agregar a los usuarios al grupo local de administradores.

1.4. Propósito y limitaciones de la detección de intrusos

• Detecta el modelo de ataques comunes, registra el tráfico sospechoso

o Los sistemas de detección de intrusos (IDS, Intrusion Detection

1.5. Objetivos de seguridad en una red

Los objetivos comunes de seguridad en una red incluyen:

 Defensa frente a los ataques del perímetro de red

• Información general sobre las conexiones de perímetro

2.1. Información general sobre las conexiones de perímetro

o Los tipos de dispositivos que se encuentran en el perímetro

En el vínculo siguiente puede encontrar ayuda, paso a paso, para planear

2.2. Diseño del servidor de seguridad: de triple interfaz

o Aunque los servidores de la red de perímetro tienen direcciones IP

2.3. Diseño del servidor de seguridad: de tipo opuesto con

o En una red de perímetro con servidores de seguridad de tipo

Generalmente, es más fácil configurar reglas para un diseño de

• Tráfico peligroso que atraviesa los puertos abiertos y no es

o Tenga en cuenta que un servidor de seguridad no protege frente a

2.5. Servidores de seguridad de software y de hardware

o Aunque los servidores de seguridad técnicamente son hardware y

Para comprobar si un servidor de seguridad cumple los estándares de la ICSA,

2.6. Tipos de funciones de los servidores de seguridad

• Objetivos de seguridad en una red

3.1. Objetivos de seguridad en una red

Detección básica de intrusos, que se amplía gracias al trabajo de los

o ISA Server ayuda a lograr los siguientes objetivos de seguridad en

Asociados para ISA Server que trabajan en la mejora de la capacidad de

3.2. Protección de los perímetros

• ISA Server tiene completas capacidades de filtrado:

• ISA Server bloquea todo el tráfico de red a menos que usted lo

o La solución de servidor de seguridad de Microsoft, ISA Server,

Consulte “ISA Server 2000 Achieves Common Criteria Certification” (en

3.3. Protección de los clientes

3.4. Protección de los servidores Web

• Reglas de publicación en Web

• Inspección del tráfico SSL

Para obtener más información sobre la publicación de ISA Server, consulte:

• El paquete de características 1 de ISA Server incluye URLScan 2.5 para

o URLScan 2.5 se incluye con el paquete de características 1 de ISA

 [Options]: describe opciones generales de URLScan.

o Aunque URLScan se diseñó originalmente para ejecutarse en un

3.6. Protección de Exchange Server

o Para proteger los servidores de correo donde se ejecuta Microsoft

3.7. Tráfico que omite la inspección de los servidores de

• Los túneles SSL atraviesan los servidores de seguridad tradicionales

o Firewall de Windows siempre se debe utilizar en todos los